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内 容 简 介 


本 书 全 面 地 为 Windows Server 2003 系统 管理 员 提 供 了 系统 管理 和 网 络 维护 的 解决 方案 。 全书 共 分 21 章 
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Windows Server 2003 是 Microsoft 公司 继 Windows Server 2000 之 后 推出 的 又 一 款 
Windows Server 系列 产品 ， 在 硬件 支持 、 服 务 器 部 署 、 网 络 安全 和 Web 应 用 等 方面 都 提供 了 
良好 的 支持 ， 可 以 说 ，Windows Server 2003 是 目前 功能 最 强 的 一 款 Server 家 族 产 品 。2004 
年 清华 大 学 出 版 社 出 版 了 《Windows Server 2003 系统 管理 》 一 书 ， 该 书 曾 多 次 印刷 ， 受 到 广 
大 读者 的 好 评 ， 考 虑 到 很 多 读者 的 需要 ， 我 们 对 第 二 版 进行 了 补充 、 更 新 和 修订 ， 编 写 了 

《Windows Server 2003 系统 管理 (第 三 版 )》。 第 三 版 在 第 二 版 的 基础 上 ， 对 部 分 内 容 进 行 了 
调整 。 根 据 读 者 的 需求 ， 我 们 删除 了 部 分 不 实用 的 内 容 ， 新 增 了 很 多 实用 内 容 ， 贴 近 读者 的 
需要 。 

本 书 共 4 篇 ， 分 21 章 。 各 篇 的 具体 内 容 如 下 。 

第 一 篇 为 Windows Server 2003 系统 安装 与 配置 。 

这 部 分 包含 第 1、2、3 章 内 容 ， 第 1 章 介绍 了 Windows Server 2003 系统 的 基本 配置 ， 第 
2 章 介绍 了 Windows Server 2003 自 带 的 系统 管理 工具 ;第 3 章 介绍 了 Windows Server 2003 
的 打印 管理 功能 。 通过 该 部 分 的 学 习 , 读者 可 以 了 解 到 Windows Server 2003 的 一 些 基本 配置 
和 管理 功能 。 

第 二 篇 为 Windows Server 2003 系统 的 用 户 管理 和 组 策略 功能 配置 。 

这 部 分 包含 第 4、5、6 章 内 容 ， 主 要 介绍 了 Windows Server 2003 的 活动 目录 管理 、 用 户 
帐户 的 配置 和 管理 以 及 Windows Server 2003 组 策略 对 象 配置 和 委派 控制 。 通 过 该 部 分 的 学 
习 ， 读 者 可 以 掌握 Windows Server 2003 系统 重要 的 用 户 帐户 配置 和 组 策略 对 象 的 相关 配置 ， 
以 便 更 好 地 管理 系统 资源 。 

第 三 篇 为 Windows Server 2003 系统 资源 管理 和 系统 维护 。 

这 部 分 包含 第 7、8、9、10 章 内 容 ， 主 要 介绍 了 分 布 式 文件 系统 及 文件 系统 管理 、 磁 盘 
管理 、 系 统 备份 及 恢复 等 各 种 系统 常用 功能 的 配置 和 管理 ， 使 读者 对 Windows Server 2003 
的 系统 配置 和 文件 资源 管理 有 更 深层 次 的 了 解 。 

第 四 篇 为 Windows Server 2003 的 网 络 架构 。 

这 部 分 包含 第 11 一 21 章 内 容 ， 主 要 介绍 了 Windows Server 2003 系统 下 的 各 种 服务 器 的 
创建 和 管理 , 系统 安全 性 配置 等 功能 , 最 后 以 一 个 典型 的 Windows Server 2003 组 建 学 生 局 域 
网 的 实例 , 结合 前 面 章 节 所 介绍 的 知识 ， 详 细 讲 述 了 基于 Windows Server 2003 的 集 学 习 、 娱 
乐 、 服 务 为 一 体 的 局 域 网 组 建 技 术 。 


本 书 是 多 人 智慧 的 集成 ， 除 封面 署名 的 作者 以 外 ， 参 与 编写 和 资料 整理 的 人 员 还 有 李 东 
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Windows Server 2003 系统 的 安装 过 程 简单 ， 但 需要 把 前 期 准备 
工作 做 好 。 如 果 要 使 Windows Server 2003 在 满足 用 户 实际 需要 的 同 
时 执行 强大 的 管理 功能 ， 就 必须 对 系统 中 的 一 些 重要 系统 服务 、 系 统 
选项 等 涉及 到 服务 器 整体 性 能 的 选项 进行 配置 和 调整 。 通 过 对 系统 启 
动 、 性 能 、 内 存 、 文 件 夹 和 电源 等 的 优化 管理 ， 来 提高 系统 的 效率 和 
功能 。 本 章 将 就 这 些 具 体 应 用 与 配置 进行 详细 介绍 。 
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1.1 安装 Windows Server 2003 系统 


1.1.1 ”系统 和 硬件 设备 需求 


操作 系统 是 计算 机 所 有 硬件 设备 、 软件 运作 的 平台 , 虽然 Windows Server 2003 有 良好 的 
安装 界面 和 近乎 全 自动 的 安装 过 程 并 支持 大 多 数 最 新 的 设备 ， 但 要 顺利 完成 安装 ， 仍 需 了 解 
Windows Server 2003 对 硬件 设备 的 最 低 需求 ， 以 及 兼容 性 等 问题 。 表 1-1 列 出 了 Windows 
Server 2003 各 个 版 本 的 最 低 系 统 要 求 。 请 用 户 对 照 现 有 的 系统 配置 和 需要 安装 的 Windows 
Server 2003 的 版 本 ， 检 查 其 兼容 性 。 


表 1-1 Windows Server 2003 各 版 本 的 最 低 系统 要 求 


系统 要 求 Datacenter 版 ”| 。 Web 版 


最 小 CPU 速度 | 550 MHz 基于 Itanium 的 计算 | 基于 Itanium 的 计算 | 550 MHz 
机 为 733 MHz 机 为 733 MHz 
推荐 CPU 加 度 3GH 20H 


最 小 RAM 256MB 512MB 512 MB 256MB 


推荐 最 小 RAM | 512MB 1GB 512 MB 


最 大 RAM 基于 Tanium 的 计算 | 2 GB 
机 为 64 GB 机 为 512 GB 
多 处 理 器 支持 最 少 需要 8 个 | 最 多 2 个 
最 多 64 个 


安装 所 需 的 磁盘 基于 Itanium 的 计算 | 基于 Itanium 的 计算 | 1.5 GB 
空间 机 为 1.0 GB 机 为 1.0GB 
其 他 要 求 CD-ROM 驱动 器 、VGA 或 更 高 分 辨 率 的 显示 器 、 网 络 适配器 


Windows Server 2003 企业 版 和 Windows Server 2003 Datacenter 版 的 64 位 版 本 只 
与 基于 Intel Itanium 64 位 的 系统 兼容 ， 无 法 安装 到 32 位 系统 上 。 
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1.1.2 配置 无 值守 安装 应 答 文件 


在 Windows Server 2003 安装 过 程 中 , 需要 用 户 输入 或 选择 一 些 安装 信息 , 如 选择 磁盘 分 
区 、 文 件 系统 类 型 、 语 言 和 区 域 选项 、 计 算 机 名 称 和 网 络 标识 等 。 如 果 只 安装 一 次 系统 ， 这 
些 都 不 算 麻烦 。 但 在 大 型 公司 的 网 络 管理 中 ， 可 能 需要 给 几 十 台 计算 机 安装 同样 配置 的 
Windows Server 2003， 那 么 管理 员 就 要 一 台 一 台地 重复 所 有 的 安装 步骤 ， 回 答 所 有 的 问题 。 

Windows Server 2003 提供 了 无 值守 安装 功能 ， 用 户 可 以 预先 配置 一 个 “应 答 文 件 ”, 在 
其 中 保存 安装 过 程 中 需要 输入 或 选择 的 信息 ， 再 以 特定 参数 运行 Winnt31.exe 安装 程序 ， 指 
定安 装 所 使 用 的 应 答 文件 便 可 实现 自动 安装 ， 而 无 须 在 安装 过 程 中 回答 任何 问题 ， 如 图 1-1 
所 示 。 


~ " 候 的 单位 各 
Computerane ~ = 
[ET 


1-1 “应 答 文件 ”示例 


下 面 就 介绍 如 何 使 用 “安装 管理 器 ”向 导 创建 应 答 文件 。 
(1) 打开 Windows Server 2003 安装 光盘 \Support\Tools 目录 中 的 Deploy.cab 文件 ， 把 压 
缩 包 中 的 setupmegr.exe 解压 出 来 ， 这 便 是 “安装 管理 器 ”。 
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1-2 ”从 光盘 中 获得 安装 管理 器 


(2) 双击 运行 setupmgr.exe， 打 开 “ 安 装 管理 器 ”向 导 ， 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 新 
的 或 现 有 的 应 答 文 件 ” 对 话 框 ， 从 中 选择 “创建 新 文件 ” 单 选 按 钮 ， 如 图 1-3 所 示 。 


9 单 击 “ 下 一 步 ”按钮 ， 打 开 “ 安 装 的 类 型 ”对 话 框 ， 该 对 话 框 中 包含 3 种 安装 类 型 ; 
人 参与 安装 、Sysprep 安装 和 远程 安装 服务 。 这 里 选择 “无 人 参与 安装 ” 单 选 按钮 ， 如 图 
1-4 所 示 。 


图 1-3 创建 或 修改 应 答 文件 图 1-4 ”选择 安装 类 型 


(4) 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 产 品 ” 对 话 框 ， 用 户 可 以 从 中 选择 要 安装 的 Windows 
产品 ， 如 图 1-5 所 示 。 

(5) 单 击 “下 一 步 ” 按 钮 ， 打 开 “ 用 户 交互 ”对 话 框 ， 这 里 有 5 个 可 选 的 交互 类 型 : 用 
户 控制 、 全 部 自动 、 隐 藏 页 、 只 读 和 使 用 GUI， 此 处 选择 “全 部 自动 ” 单 选 按钮 ， 如 图 1-6 
所 示 。 


安装 管理 器 


用 户 交工 


产品 
村 使 用 这 个 应 短文 件 实 装 咖 个 Iadovs 产品? 选 天 有 户 灾 可 的 强 


图 1-5 选择 Windows 产品 1-6 用户 交 互 类 型 


(6) 单 击 “ 下 一 步 ”按钮 ， 打开“ 分布 共享 ”对 话 框 。“ 分 布 共享 ”选项 可 以 将 Windows 
Server 2003 安装 光盘 中 的 内 容 全 部 复制 到 指定 的 文件 夹 ， 并 将 该 文件 夹 共 享 出 去 ， 以 便 实现 
网 络 安装 ， 有 关 这 方面 的 知识 将 在 后 面 章节 中 详细 介绍 ， 如 图 1-7 所 示 。 

(7) 单 击 “ 下 一 步 ” 按 钮 打开“ 许可 协议 ”对 话 框 ， 选 中 “我 接受 许可 协议 ” 复 选 框 ， 
如 图 1-8 所 示 。 


图 1-7 分 布 共享 1-8 许可 协议 


(8) 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 安 装 管理 器 ”设置 对 话 框 ， 在 该 对 话 框 中 用 户 需 要 提 
供 全 部 安装 信息 ， 包 括 名 称 和 单位 、 产 品 密 钥 、 计 算 机 名 称 等 ， 一 般 采 用 系统 默认 即 可 ， 如 
1-9 所 示 。 


1-9 ”安装 管理 器 设置 


(9) 完成 全 部 设置 后 ， 单 击 “ 完 成 ”按钮 ，“ 安 装 管理 器 ”会 提示 用 户 保存 刚刚 创建 的 
应 答 文件 ， 单 击 “ 浏 览 ” 按 钮 选择 保存 路 径 。 单 击 “ 确 定 ”按钮 完成 应 答 文件 的 创建 ， 如 图 
1-10 所 示 。 


图 1-10 保存 应 答 文件 


创建 了 应 答 文件 之 后 ，“ 安 装 管理 器 ”会 在 用 户 刚才 选择 的 保存 路 径 下 创建 3 个 文件 : 


Rs Windows l 
Secnverm2003ETrDo 


unattend.bat、unattend.txt 和 unattend.udb。 如 果 用 户 要 修改 安装 信息 ， 可 以 用 文本 编辑 器 打开 
unattend.txt， 修 改 应 答 文件 的 参数 ， 各 参数 的 含义 和 配置 方法 可 以 参考 安装 光盘 中 的 
Support\TO0ls\Deploy.cab\Deploy.chm 帮助 文件 。 

然后 ， 只 需 双 击 批 处 理 文件 unattend.bat， 便 可 开始 无 值守 安装 了 。 整 个 安装 过 程 无 需 人 
工 干预 。 


1.1.3 ”Windows Server 2003 系统 的 兼容 性 


在 正式 安装 之 前 , 先 介绍 一 下 Windows Server 2003 的 兼容 性 , 用 户 可 以 直接 对 Windows 
Server 2003 进行 升级 安装 。Windows Server 2003 是 微软 服务 器 系列 操作 系统 的 最 稳定 的 和 比 
较 新 的 版 本 ， 保 持 向 下 兼容 。 因 此 ， 用 户 可 以 从 如 下 操作 系统 直接 升级 到 Windows Server 
2003。 

Windows NT Server 4.0 with Service Pack 5 或 更 高 版 本 。 

Windows NT Server 4.0 Terminal Server Edition with Service Pack 5 或 更 高 版 本 。 
Windows NT Server 4.0 Enterprise Edition with Service Pack 5 或 更 高 版 本 。 
Windows 2000 Server。 

Windows 2000 Advanced Server。 

Windows Server 2003 标准 版 。 

Windows Server 2003 提供 了 一 个 “升级 顾问 ”工具 ， 可 以 自动 检查 系统 的 兼容 性 。 从 安 
装 光盘 上 运行 Setup.exe 文件 启动 安装 程序 后 ， 在 初始 安装 界面 中 选择 “检查 系统 兼容 性 ” 选 
项 ， 安 装 程序 便 会 自动 检查 当前 系统 是 否 与 Windows Server 2003 兼容 。 

另外 ， 关 于 应 用 程序 的 兼容 性 ， 请 访问 Microsoft 公司 的 网 站 ， 获 取 兼 容 性 列表 : 


http://www.microsoft.com/windowsserver2003/compatible/ 


若 要 从 除了 以 上 列 出 的 操作 系统 中 安装 Windows Server 2003， 必 须 选择 全 新 安装 模式 。 
全 新 安装 的 Windows Server 2003 可 以 和 现 有 的 操作 系统 并 存 ， 但 不 能 继承 它 的 配置 管理 信 
息 ， 因 此 用 户 需要 重新 设置 。 


1.1.4 ”启动 安装 程序 
安装 程序 的 启动 有 多 种 方式 , 在 有 条 件 的 Windows 环境 中 , 可 以 从 安装 光盘 或 者 网 络 共 


享 文件 夹 直接 启动 安装 程序 。 推 荐 使 用 安装 光盘 引导 启动 ， 直 接 进 入 基于 文本 的 安装 。 启 动 
方式 如 下 。 


[过 


1-11 安装 初始 界面 


(1) 在 安装 初始 界面 中 ， 单 击 “ 安 装 Windows Server 2003” 选 项， 开始 安装 。 系 统 首先 
会 收集 一 些 基本 信息 ， 然 后 提示 用 户 选 择 安装 方式 ， 升级 和 全 新 安装 。 关 于 这 两 种 安装 方式 
的 区 别 ， 将 在 后 面 做 详细 比较 。 

(2) 接受 许可 协议 并 输入 产品 密 钥 ， 该 密 钥 可 以 在 正版 安装 光盘 的 包装 盒 内 找到 。 

(3) 选择 Windows Server 2003 安装 源 文 件 和 系统 安装 目录 ， 一 般 采 用 默认 值 即 可 。 

(4) 可 选 辅助 功能 ， 以 帮助 残疾 人 完成 安装 过 程 。 

(5) 选择 文件 系统 ， 以 及 是 否 从 网 络 下 载 更 新 的 安装 程序 文件 ， 接 着 单 击 “下 一 步 ” 按 
钮 ， 开 始 安装 。 

(6) 重新 启动 系统 ， 进 入 基于 文本 的 安装 阶段 。 

2. 通过 安装 光盘 或 启动 盘 引 导 安 装 程序 

若 要 用 光盘 或 软盘 引导 系统 ， 需 要 设置 主板 的 BIOS， 将 其 引导 顺序 更 改 为 : 光驱 、 软 
驱 和 硬盘 。 一 般 默认 的 就 是 这 个 引导 顺序 ， 如 果 此 顺序 已 经 被 更 改过 ， 请 参考 主板 说 明 书 中 
的 方法 ， 将 顺序 改 回来 。 插 入 光盘 或 软盘 启动 盘 ， 重 启 计算 机 ， 系 统 便 会 自动 从 光驱 或 软驱 
引导 安装 程序 。 

在 DOS 环境 下 ， 也 可 以 直接 运行 光盘 上 的 1386\setup.exe 来 引导 安装 程序 。 

通过 光盘 或 软盘 引导 安装 程序 ， 预 安装 过 程 将 以 文本 的 界面 来 进行 ， 可 参考 前 面 介绍 的 
步 又 来 完成 该 过 程 ， 然 后 进入 后 文 介绍 的 “基于 文本 的 安装 阶段 ”。 

3. 升级 安装 和 全 新 安装 的 比较 

采用 升级 安装 模式 ， 则 现 有 的 帐户 、 配 置 、 组 、 权 限 、 服 务 和 安全 许可 等 信息 都 将 保留 
(或 同步 升级 )。 同 样 ,用 户 也 不 必 重 新 安装 应 用 程序 .但 如 果 现 有 的 应 用 程序 与 Windows Server 
2003 不 兼容 ， 就 需要 升级 该 软件 到 支持 Windows Server 2003 的 新 版 本 ， 否 则 不 能 在 新 系统 
中 继续 使 用 该 应 用 程序 。 需 要 注意 的 是 ， 升 级 安装 需要 更 多 的 磁盘 空间 。 

采用 全 新 安装 模式 ， 安 装 过 程 将 有 更 多 的 自主 设置 权 ， 用 户 可 选择 不 同 的 磁盘 分 区 和 文 
件 类 型 ， 新 的 系统 可 以 与 现 有 操作 系统 并 存 。 全 新 安装 的 系统 运行 更 快捷 ， 稳 定性 也 更 好 。 
但 是 它 有 个 致命 的 缺点 : 现 有 系统 的 配置 信息 将 不 能 继承 到 新 系统 ， 必 须 重新 设置 和 部 署 。 
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升级 安装 适合 于 服务 器 系统 ， 或 者 在 网 络 中 提供 服务 和 共享 资源 的 计算 机 ， 而 全 新 安装 适合 
于 独立 的 计算 机 和 个 人 用 户 ， 如 图 1-12 所 示 。 


玫 字 使 用 Windos 去 闫 程序 

A 
| 
本 


Em 
人 


ea 


1 
1-12 ”选择 安装 模式 


1.1.5 ”基于 文本 的 安装 阶段 


这 个 阶段 只 用 于 “全 新 安装 ”模式 ， 或 者 从 光盘 引导 启动 的 安装 方式 ， 如 果 在 前 一 阶段 
选择 了 “升级 安装 ”， 则 会 跳 过 这 一 阶段 。 
基于 文本 的 安装 阶段 只 有 简单 的 几 个 步骤 ， 用 户 按 屏幕 提示 即 可 完成 。 但 同时 它 也 是 一 
个 敏感 的 阶段 ， 任 何 误 操 作 都 影响 巨大 而 且 难 以 恢复 。 下 面 就 几 个 比较 重要 的 问题 做 一 下 比 
较 和 图 述 ， 以 帮助 用 户 作出 正确 的 选择 。 
e 安装 新 系统 或 修复 旧 系 统 ， 选择 前 者 将 安装 一 个 新 的 系统 ， 它 与 现 有 系统 并 存 或 者 
覆盖 现 有 系统 ， 后 者 是 对 已 损坏 的 系统 进行 修复 ， 只 是 重新 复制 一 遍 系统 文件 ， 而 
不 会 改变 任何 现 有 的 设置 。 
e 文件 系统 的 转换 ， 如 果 选 择 在 FAT/FAT32 分 区 的 硬盘 上 安装 Windows Server 2003， 
可 以 将 现 有 文件 系统 升级 到 NTFS 格式 ， 而 无 须 再 从 新 格式 NTFS 分 区 中 安装 系统 。 
该 过 程 是 安全 的 ， 但 也 是 不 可 道 的 。 
e 操作 磁盘 分 区 : 安装 过 程 中 对 磁盘 分 区 的 划分 、 删 除 、 格 式 化 等 操作 ， 都 将 删除 该 
分 区 中 的 全 部 数据 ， 必 须 谨慎 执行 。 需 要 注意 的 是 ， 在 分 区 时 一 定 要 把 主 分 区 尽量 
分 配 得 大 一 些 ， 以 便 将 来 安装 其 他 软件 有 足够 的 磁盘 空间 可 用 。 
。 在 基于 文本 的 安装 阶段 ， 如 果 用 户 对 前 面 的 选择 不 满意 ， 可 以 在 任何 时 候 按 F3 键 退 
出 安装 程序 。 


1.1.6 基于 GUI 的 安装 阶段 


在 前 一 阶段 设置 结束 后 重新 启动 计算 机 , 将 进入 基于 GUI 图 形 界面 的 安装 阶段 ， 该 阶段 
的 主要 任务 是 对 Windows 作 初 始 化 设置 。 
下 面 介绍 一 下 基于 GUI 的 安装 步骤 。 


(1) 在 系统 启动 画面 过 后 ， 便 立即 开始 硬件 检测 和 安装 ， 该 过 程 需要 几 分 钟 到 几 十 分 钟 。 
Windows Server 2003 兼容 大 多 数 最 新 的 设备 , 所 以 该 过 程 一 般 都 能 自动 完成 。 需 要 注意 的 是 ， 
如 果 系 统 无 法 检测 并 安装 网 络 设备 ， 那 么 ， 安 装 过 程 将 被 强迫 暂停 ， 直 到 用 户 手动 安装 了 兼 
容 的 网 卡 驱动 程序 才能 继续 安装 。 

(2) 接 下 来 是 区 域 和 输入 法 设置 ，“ 自 定义 区 域 选 项 ”对 话 框 用 来 设置 区 域 、 数 字 、 货 
币 、 时 间 、 日 期 和 排序 方法 ， 以 符合 用 户 的 使 用 习惯 “文字 服务 与 输入 语言 ”对 话 框 允许 
用 户 自由 增加 、 删 除 输入 法 ， 并 设置 与 输入 法 相关 的 一 些 快捷 键 ， 如 图 1-13 所 示 。 


1-13 ”文字 服务 与 输入 语言 


(3) 在 “授权 信息 ”对 话 框 中 需要 输入 用 户 的 姓名 和 单位 ， 这 里 的 “姓名 ”只 是 用 户 的 
注册 信息 ,而 非 计 算 机 名 或 域名 ; 然后 是 许可 认证 信息 ,输入 产品 密 钥 ( 即 安装 光盘 包装 上 的 
CD-KEY)， 接 着 ， 设 定 授权 模式 ， 根 据 用 户 购买 产品 的 授权 数目 作 相应 地 设 定 。 

(4) “系统 设置 ”对 话 框 用 于 设置 计算 机 名 和 管理 员 密码 ， 这 里 的 计算 机 名 是 计算 机 在 
网 络 中 的 标识 ， 可 以 起 一 个 与 其 作用 相符 合 的 名 字 。 然 后 就 是 安装 Windows Server 2003 组 
件 ， 设 置 时 区 、 时 间 和 日 期 。 

(5) 单 击 “下 一 步 ” 按 钮 , 开始 安装 网 络 。 使 用 默认 安装 选项 即 可 使 Windows Server 2003 
网 络 正常 运行 了 。 
(6) 最 后 ， 选 择 是 否 使 该 计算 机 加 入 域 ， 如 果 用 户 对 域 还 不 太 了 解 ， 可 以 先 选中 “不 ， 
此 计算 机 不 在 网 络 上 .……” 单 选 按钮 ， 在 阅读 后 面 章节 之 后 即 可 全 面 了 解 有 关 域 的 知识 ， 然 
后 再 运行 Depromo.exe 来 建立 域 。 如 果 选 择 “ 是 ， 把 计算 机 作为 下 面 域 的 成 员 ” 单 选 按钮 ， 
则 需要 输入 现 有 域名 , 并 提供 具有 加 入 域 权限 的 用 户 名 和 密码 (使 用 Administrator 帐户 即 可 )。 
至 此 ，Windows Server 2003 安装 过 程 的 初始 化 设置 已 全 部 完成 ， 可 以 开始 安装 系统 ， 同 
时 用 户 也 可 以 在 安装 过 程 中 选择 要 安装 的 服务 组 件 。 
e UDDI 服务 : UDDI 服务 (Universal Description Discovery and Integration) 是 针对 XML 
Web service 所 提供 的 动态 、 具 有 弹性 的 基础 环境 。 这 个 以 标准 为 基础 的 解决 方案 可 
以 让 公司 能 提供 自己 的 UDDI 目录 供 内 部 网 络 或 外 部 网 络 使 用 。 

e Windows Media Services: 提供 网 络 Media 流 媒体 的 服务 。 

e 传真 服务 。 
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局) 如 多 理 二 时 


电子 邮件 服务 ， 建 立 企业 内 部 的 电子 邮件 服务 器 。 
附件 和 工具 。 

更 新 根 目录 证 书 。 

管理 和 监视 工具 。 

其 他 的 网 络 文件 和 打印 服务 。 

索引 服务 : 提供 全 文 索引 服务 ， 提 高 查询 速度 。 
网 络 服务 。 

应 用 程序 服务 器 。 

远程 安装 服务 。 

远程 存储 。 

证 书 服务 。 

终端 服务 器 。 

终端 服务 器 授权 。 


1.2 ”配置 系统 属性 


系统 属性 是 一 个 可 以 通过 “计算 机 管理 ”访问 的 Windows Management Instrumentation 
(WMD 工 具 。 使 用 “系统 属性 ”就 可 以 查看 并 更 改 本 地 计算 机 或 远程 计算 机 上 的 系统 属性 。 
对 系统 而 言 系统 属性 的 配置 是 非常 重要 的 ， 因 为 这 直接 决定 着 它 以 何 种 状态 运行 以 及 能 否 正 
常 地 运行 。 下 面 就 从 系统 性 能 选项 、 用 户 配 置 文件 、 系 统 环境 变量 、 启 动 和 故障 恢复 、 错 误 
报告 等 几 个 方面 介绍 如 何 配置 “系统 属性 ”， 实 现 系 统 性 能 的 最 优化 配置 。 


1.2.1 系统 性 能 选项 的 相关 设置 


Windows Server 2003 中 的 内 存 资源 一 般 由 虚拟 内 存 管理 器 来 管理 , 它 通 过 标识 应 用 程序 
和 各 个 进程 对 内 存 的 要 求 ， 为 应 用 程序 分 配合 适 的 内 存 。 同 时 ，Windows 系统 采用 了 虚拟 内 
存 分 页 映射 机 制 来 管理 内 存 ， 也 就 是 分 页 系统 通过 分 配 部 分 硬盘 作为 附加 内 存 。 虚 拟 内 存 页 
面 文件 就 是 硬盘 驱动 器 上 由 虚拟 内 存 管理 器 使 用 的 特殊 文件 ， 虚 拟 内 存 管理 器 使 用 这 个 页 面 
文件 存放 应 用 程序 或 进程 要 求 在 内 存 中 出 现 但 在 特定 的 实例 中 不 使 用 的 数据 。Windows 系统 
中 的 内 存 管理 主要 就 是 管理 这 些 页 面 文件 ， 通 过 为 每 一 个 硬盘 驱动 器 创建 一 个 页 面 文件 来 提 
高 系统 的 性 能 ， 正 确 地 设置 内 存 也 能 够 提高 系统 的 效率 。 通 过 配置 系统 性 能 选项 ， 用 户 可 以 
选择 系统 的 视觉 效果 和 处 理 器 的 使 用 计划 ， 查 看 、 更 改 控制 计算 机 使 用 内 存 方式 的 设置 ， 并 
合理 分 配 系 统 虚 拟 内 存 的 大 小 。 

下 面 就 通过 具体 的 操作 步骤 来 介绍 相关 性 能 的 配置 。 


1. 选择 处 理 器 计划 

(1) 通过 “开始 ”菜单 打开 “控制 面板 ”， 双 击 “ 系 统 ”图 标 ， 打 开 “ 系 统 属性 ”对 话 
框 ， 或 者 右 击 “我 的 电脑 ”图 标 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 也 会 打开 该 对 话 
框 ， 然 后 选择 打开 “高 级 ”选项 卡 ， 如 图 1-14 所 示 。 

(2) 在 “高 级 ”选项 卡 中 单 击 “ 性 能 ”选项 区 域 中 的 “设置 ”按钮 ， 弹 出 “性 能 选项 ” 
对 话 框 ， 选 择 “ 高 级 ”选项 卡 ， 如 图 1-15 所 示 。 


图 1-14 “系统 属性 ”对 话 框 的 “高 级 ”选项 卡 1-15 “性 能 选项 ”对 话 框 的 “高 级 ”选项 卡 


(3) 通过 选择 不 同 的 处 理 器 计划 ， 从 而 调整 分 配 相 应 的 处 理 器 资源 来 优化 系统 的 性 能 。 
要 优化 应 用 程序 性 能 ， 则 选择 “程序 ” 单 选 按钮 ， 要 优化 后 台 服 务 性 能 ， 可 以 选择 “后 台 服 
务 ” 单 选 按钮 ， 如 图 1-16 所 示 。 

(4) 单 击 “ 确 定 ” 按 钮 ， 保 存 设置 。 

2. 指定 内 存 使 用 

(1) 按照 上 文 所 述 ， 在 “性 能 选项 ”对 话 框 的 “内 存 使 用 ”选项 区 域 中 ， 可 以 通过 指定 
内 存 的 使 用 方式 来 选择 如 何 分 配 系统 内 存 ， 以 根据 个 人 的 实际 需要 优化 系统 性 能 。 要 优化 应 
用 程序 性 能 ， 选 择 “ 程 序 ” 单 选 按钮 ;要 优化 系统 的 缓存 ， 则 选择 “系统 缓存 ” 单 选 按钮 ， 
如 图 1-17 所 示 。 


图 1-16 “处 理 器 计划 ”选项 区 域 图 1-17 “内 存 使 用 ”选项 区 域 


(2) 单 击 “确定 ”按钮 ， 保 存 设置 。 
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3. 更 改 虚 拟 内 存 设置 

(1) 按照 上 文 所 述 的 操作 ， 在 “性 能 选项 ”对 话 框 中 的 “虚拟 内 存 ” 选 项 区 域 中 可 以 更 
改 虚拟 内 存 的 设置 ， 如 图 1-18 所 示 。 

(2) 在 “虚拟 内 存 ” 选 项 区 域 中 可 以 看 到 系统 默认 设置 的 虚拟 内 存 页 面 文件 的 大 小 ， 
Windows 将 设置 的 页 面 文件 作为 内 存 来 使 用 ， 以 提高 系统 的 性 能 。 用 户 也 可 以 根据 实际 情况 
和 系统 配置 进行 手动 设置 ， 单 击 “ 更 改 ” 按钮 ， 将 弹出 “虚拟 内 存 ” 对 话 框 ， 如 图 1-19 所 示 。 

G3) 在 “虚拟 内 存 ” 对 话 框 的 “驱动 器 ”列表 框 中 可 以 看 到 每 个 驱动 器 上 设置 的 页 面 文 
件 大 小 。 在 “所 选 驱 动 器 的 页 面 文件 大 小 ”选项 区 域 中 ， 显 示 了 每 个 驱动 器 的 页 面 文件 ， 系 
统 既 可 以 指定 默认 的 系统 管理 的 页 面 文件 大 小 ， 也 可 以 允许 用 户 自 定义 页 面 文件 大 小 或 设置 
无 分 页 文件 。 在 “所 有 驱动 器 页 面 文件 大 小 的 总 数 ” 选 项 区 域 中 ， 显 示 驱 动 器 页 面 文件 允许 
的 最 小 值 为 2MB， 当 前 已 分 配 的 虚拟 内 存 为 240MB， 并 推荐 用 户 使 用 238MB 的 虚拟 内 存 。 
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图 1-18 “虚拟 内 存 ” 选 项 区 域 图 1-19 “虚拟 内 存 ” 对 话 框 


(4) 如 果 需 要 自 定义 某 个 驱动 器 的 页 面 文件 大 小 , 可 以 在 驱动 器 列表 框 中 单 击 该 驱动 器 ， 

在 “所 选 驱动 器 的 页 面 文件 大 小 ”选项 区 域 中 选择 “ 自 定义 大 小 ” 单 选 按钮 ， 在 “初始 大 小 ” 

文本 框 中 输入 初始 页 面 文件 的 大 小 ， 一 般 情况 下 其 值 必须 在 2~275 之 间 且 不 超过 驱动 器 的 可 

空间 ;在 “最 大 值 ”文本 框 中 输入 所 选 驱动 器 页 面 文件 的 最 大 值 ， 其 值 应 大 于 或 等 于 页 面 

文件 的 初始 大 小 , 同样 也 不 能 超过 驱动 器 的 可 用 空间 ; 当 驱 动 器 的 可 用 空间 大 于 4095MB 时 ， 

也 不 能 超过 4095MB; 然后 单 击 “ 设 置 ” 按 钮 ， 使 对 所 选 驱动 器 的 页 面 文件 大 小 的 设置 生效 。 
当然 ， 也 可 以 选择 “系统 管理 的 大 小 ” 单 选 按钮 由 系统 确定 默认 大 小 或 “无 分 页 文件 ”。 
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为 了 获得 系统 的 最 佳 性 能 ， 最 好 将 初始 大 小 设置 为 不 低 于 “所 有 驱动 器 上 页 面 文 
件 大 小 的 总 数 ” 下 的 推荐 大 小 。 推 荐 大 小 等 于 系统 随机 存 取 存储 器 (RAM) 数 量 的 1.5 
售 。 通常 ， 尽 管 一 些 需要 大 量 内 存 的 程序 可 能 会 增加 页 面 文件 的 大 小 ， 但 仍 应 当 将 页 
面 文件 保留 为 推荐 大 小 。 


(5) 单 击 “ 确 定 ” 按 钮 ， 返 回 到 “性 能 选项 ”对 话 框 。 继 续 单 击 “ 确 定 ”按钮 保存 设置 。 


要 执行 上 述 配置 系统 性 能 选项 的 操作 , 必须 是 本 地 计算 机 中 Administrators 组 的 成 
员 ， 或 者 被 委派 适当 的 权限 。 同 时 ， 在 更 改 了 某 些 性 能 选项 后 ， 必 须 重 新 启动 计算 机 
才能 使 更 改 生效 。 


4. 选择 视觉 效果 
(1) 按照 上 文 提 到 的 步骤 ,在 “性 能 选项 ”对 话 框 中 选择 “视觉 效果 ”选项 卡 ， 如 图 1-20 
所 示 。 


1-20 “视觉 效果 ”选项 卡 


(2) 在 “视觉 效果 ”选项 卡 中 可 以 通过 不 同 的 选项 来 设置 Windows 的 外 观 和 各 种 性 能 。 
如 果 要 使 用 默认 配置 ， 可 以 选择 “让 Windows 选择 计算 机 的 最 佳 设置 ” 单 选 按钮 ， 如果 要 使 
系统 的 性 能 体现 为 最 佳 外 观 ， 可 以 选择 “调整 为 最 佳 外 观 ” 单 选 按钮 ， 如 果 要 配置 系统 的 视 
觉 效 果实 现 最 佳 性 能 ， 可 以 选择 “调整 为 最 佳 性 能 ” 单 选 按钮 ， 当 然 ， 也 可 以 根据 个 人 的 要 
求 来 自 定义 系统 的 视觉 效果 ， 在 “ 自 定义 ”列表 框 中 选择 不 同 的 选项 ， 来 使 系统 的 外 观 和 性 
能 达到 理想 的 视觉 配置 。 

(3) 单 击 “ 确 定 ” 按 钮 ， 保 存 设置 。 


1.2.2 “用 户 配置 文件 ”的 设置 


在 Windows Server 2003 的 用 户 列表 中 , 除了 Guest 之 外 , 每 一 个 帐户 都 有 一 个 用 户 配置 
文件 ， 用 户 配 置 文件 在 本 地 计算 机 上 为 每 个 用 户 创建 工作 环境 和 维护 桌面 设置 。 如 桌面 程序 
的 快捷 方式 、 屏 幕 属性 设置 、 鼠 标 设置 和 窗口 大 小 等 。 每 个 用 户 首次 登录 计算 机 时 ， 系 统 就 
创建 相应 的 用 户 配 置 文件 。 在 创建 或 更 改 用 户 帐户 属性 时 ， 可 以 指定 所 使 用 的 用 户 配置 文件 
及 类 型 。 当 用 户 登录 计算 机 时 ， 系 统 就 会 加 载 其 配置 文件 ， 而 在 注销 时 也 会 将 改动 的 设置 更 
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新 到 配置 文件 中 。 

Windows Server 2003 共有 3 种 用 户 配置 文件 : 本 地 用 户 配置 文件 、 漫 游 用 户 配置 文件 和 
强制 用 户 配 置 文件 。 本 章 主 要 介绍 本 地 用 户 配 置 文件 ， 其 他 的 配置 文件 类 型 将 在 后 续 章节 中 
详细 介绍 。 

一 般 来 说 ， 用 户 配置 文件 有 以 下 优点 。 

e 用 户 登 录 计算 机 时 ， 获 得 与 上 次 注销 时 相同 的 桌面 设置 ， 多 个 用 户 可 以 使 用 同一 台 

计算 机 ， 而 每 个 用 户 将 获得 自 定义 的 桌面 环境 。 

e 用户 配置 文件 可 以 存储 在 服务 器 上 ， 可 以 让 用 户 在 登录 到 网 络 上 任何 一 台 计算 机 上 

时 都 有 相同 的 工作 环境 ， 这 种 配置 文件 称 为 漫游 用 户 配置 文件 。 

在 默认 情况 下 ,用 户 第 一 次 登录 计算 机 时 ，Windows Server 2003 会 在 计算 机 系统 磁盘 的 
Documents and Settings 文件 夹 中 自动 创建 一 个 与 帐户 同名 的 子 文件 夹 ， 然 后 将 默认 的 用 户 配 
置 文件 数据 复制 到 此 文件 夹 中 ， 称 为 该 用 户 的 本 地 用 户 配置 文件 ， 如 图 1-21 所 示 为 
Administrator 帐户 的 配置 文件 夹 。 

Windows Server 2003 在 用 户 使 用 “用 户 配置 文件 ”进行 管理 时 既 允 许 用 户 创建 自 定义 的 
用 户 配置 文件 ， 以 提供 与 其 任务 一 致 的 工作 环境 ， 也 可 以 指定 所 有 用 户 的 公用 组 设置 ， 还 可 
以 指定 强制 用 户 配 置 文件 以 防止 用 户 更 改 桌面 设置 。 可 以 通过 “系统 属性 ”对 话 框 对 用 户 配 
置 文件 进行 管理 ， 具 体操 作 步 骤 如 下 。 

(1) 通过 “开始 ”菜单 打开 “控制 面板 ”窗口 ， 双 击 “ 系 统 ” 图 标 打开 “系统 属性 ”对 
话 框 ， 或 者 右 击 “我 的 电脑 ”图 标 ， 在 弹出 的 快捷 菜单 中 单 击 “ 属 性 ”命令 ， 也 会 打开 “ 系 
统 属性 ”对 话 框 ， 在 “高 级 ”选项 卡 中 的 “用 户 配 置 文件 ”选项 区 域 中 单 击 “ 设 置 ”按钮 ， 
打开 “用 户 配置 文件 ”对 话 框 ， 通 过 该 对 话 框 可 以 根据 个 人 需要 对 用 户 配 置 文件 进行 相应 的 
设置 ， 如 图 1-22 所 示 。 
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1-21 Administrator 帐户 的 配置 文件 夹 1-22 “用 户 配 置 文件 ”对 话 框 


(2) 该 对 话 框 的 “储存 在 本 机 上 的 配置 文件 ”列表 框 列 出 了 本 机 上 所 有 用 户 的 配置 文件 。 
如 果 需 要 删除 某 个 用 户 的 配置 文件 , 只 需 在 列表 框 中 单 击 该 用 户 配置 文件 , 然后 单 击 “ 删 除 ” 
按钮 即 可 。 


当 删 除 某 个 用 户 配置 文件 后 ， 该 用 户 的 个 人 设置 和 信息 都 将 丢失 。 下 一 次 再 以 该 
用 户 的 身份 登录 计算 机 时 ， 将 不 能 查看 或 使 用 以 前 的 个 人 设置 和 信息 。 需 要 特别 注意 
的 是 ， 对 于 系统 默认 的 系统 管理 员 的 用 户 配置 文件 是 不 可 删除 和 复制 的 ， 而 且 在 “用 
户 配 置 文件 ”对 话 框 中 其 更 改 用 户 配 置 文件 的 命令 按钮 也 是 不 可 用 的 。 


(3) 对 于 系统 管理 员 而 言 ， 如 果 要 改变 某 个 用 户 配 置 文件 的 类 型 ， 可 以 在 “用 户 配 置 文 
件 ” 对 话 框 的 “储存 在 本 机 上 的 配置 文件 ”列表 框 中 单 击 该 用 户 配置 文件 ， 然 后 单 击 “ 更 改 
类 型 ”按钮 ， 打 开 “ 更 改 配置 文件 类 型 ”对 话 框 进行 更 改 ， 如 图 1-23 所 示 。 


1-23 “更 改 配置 文件 类 型 ”对 话 杠 


一 般 ， 用 户 配 置 文件 类 型 包括 本 地 配置 文件 和 漫游 配置 文件 两 种 ， 用 户 可 以 选择 其 中 一 
种 文件 类 型 。 如 果 需 要 复制 用 户 配置 文件 ， 可 以 单 击 “ 用 户 配置 文件 ”对 话 框 的 “储存 在 本 
机 上 的 配置 文件 ”列表 框 下 面 的 “复制 到 ”按钮 打开 “复制 到 ”对 话 框 ， 选 择 需 要 的 用 户 
进行 相应 的 设置 即 可 。 

(4) 设置 完 用 户 配置 文件 后 ， 单 击 “ 确 定 ” 按 钮 即 可 应 用 设置 。 


1.2.3 “启动 和 故障 恢复 ”选项 的 配置 


Windows Server 2003 增强 了 在 系统 启动 和 故障 恢复 方面 的 设置 , 以 保证 系统 能 更 加 快捷 
和 安全 地 运行 。 

下 面 就 从 系统 启动 设置 和 故障 恢复 方面 具体 介绍 相关 选项 的 配置 。 

1. “系统 启动 ”设置 

从 Windows 2000 开始 ，Windows 就 加 入 了 系统 启动 方面 的 设置 。 使 得 系统 管理 员 可 以 
很 方便 地 对 具有 多 重 操作 系统 的 计算 机 进行 设置 。 如 指定 默认 启动 的 操作 系统 ， 调 整 启动 时 
显示 操作 系统 列表 的 时 间 和 恢复 选项 的 时 间 等 。Windows Server 2003 仍然 延续 了 这 一 功能 ， 
并 新 增 了 可 以 直接 编辑 启动 文件 bootini 的 功能 ， 通 过 对 文件 启动 选项 的 编辑 ， 系 统管 理 员 
可 以 在 某 一 操作 系统 出 现 故 障 时 从 启动 文件 中 将 它 删除 ,以免 自 动 启动 该 系统 。 具体 的 操 
作 步 又 如 下 。 
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(1) 通过 “开始 ”菜单 打开 “控制 面板 ”窗口 ， 双 击 “ 系 统 ” 图 标 打开 “系统 属性 ”对 
话 框 ， 在 “启动 和 故障 恢复 ”选项 区 域 中 单 击 “ 设 置 ” 按 钮 ， 打 开 “ 启 动 和 故障 恢复 ”对 话 
框 ， 如 图 1-24 所 示 。 


1-24 “启动 和 故障 恢复 ”对 话 框 


(2) 在 “系统 启动 ”选项 区 域 中 ， 可 以 在 安装 了 多 个 操作 系统 的 计算 机 配置 中 设置 默认 
的 启动 系统 。 例 如 ， 本 机 已 经 安装 了 两 个 操作 系统 ， 一 个 是 Windows Server 2003， 另 外 一 个 
是 Windows 98， 要 指定 默认 操作 系统 为 Windows Server 2003， 可 以 在 “默认 操作 系统 ”下 
拉 列 表 中 选择 需要 的 操作 系统 。 这 样 , 在 默认 情况 下 ,系统 会 优先 启动 Windows Server 2003 。 
同时 ， 选 中 “显示 操作 系统 列表 的 时 间 ” 复 选 框 ， 可 以 在 其 后 的 微调 框 中 指定 在 启动 默认 操 
作 系统 之 前 等 待 用 户 选 定 操作 系统 的 时 间 。 选 中 “在 需要 时 显示 恢复 选项 的 时 间 ” 复 选 框 ， 
可 以 在 其 后 的 微调 框 中 指定 等 待 用 户 选择 系统 恢复 选项 的 时 间 。 当 然 ， 为 了 减少 启动 时 间 ， 
可 以 取消 选中 “显示 操作 系统 列表 的 时 间 ” 复 选 框 ， 这 样 ， 计 算 机 在 启动 时 就 不 再 显示 多 重 
系统 列表 ， 而 是 直接 启动 指定 的 默认 操作 系统 。 

(3) 系统 管理 员 也 可 以 通过 手动 编辑 启动 选项 文件 bootini, 配置 系统 启动 选项 。 单 击 “ 编 
辑 ” 按 钮 ， 即 可 打开 “boot ini- 记 事 本 ”窗口 ， 如 图 1-25 所 示 。 
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1-25 bootini 文件 


在 该 编辑 窗口 中 ， 系 统管 理 员 可 以 很 方便 地 调整 启动 等 待 的 时 间 ， 如 把 “timeout-30” 


设置 为 “timeout=15”， 可 以 缩短 启动 时 间 ， 同 时 还 可 以 编辑 启动 时 显示 的 操作 系统 列表 ， 
并 指定 默认 的 操作 系统 。 然后 保存 修改 后 的 文件 , 更 改 的 设置 在 重新 启动 计算 机 后 即 可 生效 。 

(4) 设置 完毕 后 ， 单 击 “ 确 定 ” 按 钮 保存 设置 并 返回 到 “系统 属性 ”对 话 框 ， 然 后 单 击 
“确定 ”按钮 即 可 。 


2. 系统 故障 恢复 选项 的 设置 

用 户 在 使 用 计算 机 的 过 程 中 ， 难 免 会 遇 到 系统 运行 出 错 或 系统 崩溃 导致 死机 的 情况 ， 这 
时 就 需要 重启 系统 并 检测 硬盘 ,这 个 故障 恢复 过 程 通常 会 占用 较 长 的 时 间 。 在 Windows Server 
2003 中 ， 系 统管 理 员 可 以 在 “系统 失败 ”选项 区 域 中 指定 在 系统 意外 停止 时 要 采取 的 措施 。 
具体 设置 的 操作 步骤 如 下 。 

(1) 按照 上 文 所 述 ， 打 开 如 图 1-24 所 示 的 “启动 和 故障 恢复 ”对 话 框 ， 在 “系统 失败 ” 
选项 区 域 中 ， 选 择 在 系统 失败 时 希望 Windows 执行 的 操作 ， 然 后 选中 与 之 相对 应 的 复 选 框 ， 
如 图 1-26 所 示 。 
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1-26 “系统 失败 ”选项 区 域 


其 中 “将 事件 写 入 系统 日 志 ” 复 选 框 用 于 设置 是 否 指定 将 系统 故障 事件 信息 记录 到 系统 
日 志 中 ， 在 运行 Windows Server 2003 的 计算 机 上 是 默认 选中 该 功能 的 ，Windows 始终 将 系 
统 事件 信息 写 入 系统 日 志 中 ; “发 出 管理 警报 ” 复 选 框 用 于 设置 是 否 指定 将 故障 信息 通知 系 
统管 理 员 ， 然 后 由 管理 员 再 作 处 理 ;， “自动 重新 启动 ” 复 选 框 用 于 设置 是 否 指定 Windows 
在 一 旦 出 现 系统 失败 则 自动 重新 启动 计算 机 。 

(2) 在 “ 写 入 调试 信息 ”选项 区 域 中 用 户 可 以 选择 当 系 统 出 现 故障 时 Windows 记录 的 信 
息 类 型 ， 并 设置 相应 的 内 存 转 储 选项 ， 可 以 选中 “覆盖 任何 现 有 文件 ” 复 选 框 。 

e 小 内 存 转 储 : 记录 用 来 识别 系统 故障 问题 的 最 少量 信息 。 如 果 选 择 该 选项 ， 则 当 系 
统 意外 停止 时 ，Windows 会 创建 新 文件 (大 小 为 64 KB)， 这 些 文件 的 历史 记录 存储 在 
相应 的 “ 转 储 文件 ”文本 框 列 出 的 目录 中 。 

e 核心 内 存 转 储 : 只 记录 核心 内 存 ， 当 系统 意外 停止 时 ， 核 心 内 存 转 储存 储 了 比 小 内 
存 转 储 更 多 的 信息 ， 而 且 比 完全 内 存 转 储 完成 的 时 间 要 少 。 如 果 选 择 该 选项 ， 必 须 
保证 在 启动 卷 上 有 足够 大 的 页 面 文件 。 这 些 文件 的 历史 记录 存储 在 相应 的 “ 转 储 文 
件 ” 文 本 框 列 出 的 目录 中 。 

e 完全 内 存 转 储 : 记录 系统 内 存 的 全 部 内 容 。 如 果 选 中 了 该 选项 ， 则 必须 使 启动 卷 上 


后) 基山 管理 上 


的 页 面 文件 足够 大 ， 以 便 容纳 所 有 的 物理 内 存 。 同 样 ， 这 些 文件 都 存储 在 “ 转 储 文 
件 ”文本 框 列 出 的 目录 中 。 
(3) 设置 完毕 后 ， 单 击 “确定 ”按钮 保存 设置 并 返回 到 “系统 属性 ”对 话 框 ， 然 后 单 击 
“确定 ”按钮 即 可 。 


1.2.4 “系统 环境 变量 ”的 设置 


系统 环境 变量 是 操作 系统 或 运行 的 应 用 程序 所 使 用 的 数据 ， 通 过 环境 变量 可 以 使 操作 系 
统 或 运行 中 的 应 用 程序 比较 容易 地 在 常用 位 置 查找 关于 它们 运行 的 平台 的 重要 信息 。 系 统 环 
境 变量 主要 是 定义 操作 系统 在 运行 中 使 用 的 各 种 信息 ， 系 统 环境 变量 的 值 对 于 登录 到 系统 的 
不 同 用 户 来 说 是 相同 的 。 而 用 户 环境 变量 主要 定义 了 每 个 登录 用 户 的 不 同 信息 ， 当 用 户 使 用 
不 同 的 用 户 名 登录 时 , 系统 管理 员 看 到 的 用 户 环境 变量 值 是 不 同 的 。 通 过 配置 环境 变量 的 值 ， 
能 使 系统 管理 员 更 好 地 管理 不 同 用 户 的 登录 信息 。 

通过 下 面 的 步骤 ， 可 以 查看 和 修改 环境 变量 。 

(1) 通过 “开始 ”菜单 打开 “控制 面板 ”窗口 ， 双 击 “ 系 统 ” 图 标 打开 “系统 属性 ”对 
话 框 ， 然 后 选择 “高 级 ”选项 卡 ， 从 中 单 击 “ 环 境 变量 ”按钮 打开 “环境 变量 ”对 话 框 ， 如 
图 1-27 所 示 。 


1-27 “环境 变量 ”对 话 框 


在 打开 的 “环境 变量 ”对 话 框 中 ， 可 以 看 到 当前 正在 工作 的 用 户 变 量 和 系统 变量 ， 系 统 
管理 员 可 以 很 方便 地 查看 和 修改 这 些 变量 的 当前 值 。 

(2) 根据 需要 可 以 新 建 或 修改 “用 户 变量 ”或 “系统 变量 ”。 例 如 ， 需 要 新 建 环境 变量 
时 ， 可 以 根据 要 新 建 变量 的 类 型 在 “用 户 变量 ”或 “系统 变量 ”列表 框 下面 单 击 “ 新 建 ” 按 
钮 。 如 果 要 新 建 一 个 用 户 环境 变量 ， 将 打开 “新 建 用 户 变量 ”对 话 框 ， 在 “变量 名 ”和 “ 变 
量 值 ”文本 框 中 分 别 输入 要 新 建 的 变量 名 及 变量 值 ， 然 后 单 击 “ 确 定 ” 按 钮 即 可 ， 如 图 1-28 
所 示 。 

如 果 要 修改 列表 框 中 的 某 个 环境 变量 值 ， 可 以 从 “用 户 变量 ”和 “系统 变量 ”列表 框 中 
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选中 要 修改 的 变量 ， 然 后 单 击 相应 的 “编辑 ”按钮 。 如 果 要 修改 系统 变量 中 的 某 个 临时 变量 
值 , 可 以 打开 “编辑 系统 变量 ”对 话 框 , 然后 根据 具体 要 求 对 变量 值 进 行 修改 即 可 , 如 图 1-29 
所 示 。 


sa 0 。 Fa 
xD 站 FE 
Cl] ww | CE ] ww | 


图 1-28 “新 建 用 户 变量 ”对 话 框 图 1-29 “编辑 系统 变量 ”对 话 框 


(3) 如 果 要 删除 列表 框 中 的 某 个 用 户 变 量 或 系统 变量 ， 可 以 在 “用 户 变量 ”或 “系统 变 
量 ”列表 框 中 选 定 要 删除 的 变量 ， 然 后 单 击 相应 的 “删除 ”按钮 即 可 。 
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需要 特别 注意 的 是 ， 在 删除 某 个 变量 之 前 ， 一 定 要 确认 所 删除 的 变量 对 当前 用 户 
没有 影响 或 者 对 系统 的 正常 运行 不 会 产生 影响 


(4) 在 设置 完 环境 变量 之 后 ， 单 击 “确定 ”按钮 即 返回 到 “系统 属性 ”对 话 杠 。 

(5) 也 可 以 通过 命令 行 的 简单 方法 来 查看 Windows Server 2003 中 的 全 部 环境 变量 的 当前 
值 。 打 开 “ 开 始 ”菜单 ， 选 择 “ 程 序 ”|“ 附 件 ”|“ 命 令 提 示 符 ”命令 来 启动 “命令 提示 符 ” 
窗口 ， 然 后 输入 Set 命令 并 按 Enter 键 ， 则 系统 当前 的 所 有 环境 变量 及 其 值 都 出 现在 屏幕 上 ， 
如 图 1-30 所 示 。 


图 1-30 “命令 提示 符 ” 窗 口 
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在 “环境 变量 ”对 话 框 中 对 环境 变量 的 修改 不 会 影响 正在 运行 的 程序 ， 新 的 设置 

直到 重新 启动 计算 机 后 才 生 效 。 
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后) 环 统 绾 理 二 时 
人 .2.5 “错误 报告 ”选项 的 配置 


Windows Server 2003 新 增 了 “错误 报告 ”功能 ， 当 Windows 出 现 意外 终止 或 运行 的 
Windows 程序 出 现 错误 时 ， 系 统 允 许 用 户 通过 网 络 向 Microsoft 报告 系统 或 软件 中 的 问题 。 

下 面 就 介绍 一 下 具体 的 操作 步骤 。 

(1) 通过 “开始 ”菜单 打开 “控制 面板 ”窗口 ， 双 击 “ 系 统 ” 图 标 打开 “系统 属性 ”对 
话 框 ， 然 后 选择 “高 级 ”选项 卡 ， 从 中 单 击 “错误 报告 ”按钮 ， 打 开 “ 错 误 报告 ”对 话 框 ， 
如 图 1-31 所 示 。 
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1-31 “错误 报告 ”对 话 框 


(2) 在 “错误 报告 ”对 话 框 中 ， 可 以 选择 “禁用 错误 报告 ” 单 选 按钮 ， 这 样 系统 就 不 会 
形成 错误 报告 ， 但 为 了 能 让 系统 管理 员 清楚 系统 的 错误 ， 可 以 同时 选中 “但 在 发 生 严重 错误 
时 通知 我 ” 复 选 框 ， 也 可 以 选择 “启用 错误 报告 ” 单 选 按钮 ， 这 时 可 以 选择 具体 报告 的 内 容 : 
“Windows 操作 系统 ”、“ 未 计划 的 计算 机 关闭 ”或 “程序 ”。 

(3) 对 于 程序 的 错误 报告 ， 还 可 以 进一步 指定 具体 的 程序 ， 单 击 “ 选 择 程序 ”按钮 ， 打 
开 “ 选 择 程序 ”对 话 框 ， 如 图 1-32 所 示 。 

(4) 在 “选择 程序 ”对 话 框 中 ， 可 以 选择 为 所 有 的 程序 报告 错误 ， 也 可 以 选择 只 为 选中 
的 Windows 程序 和 Windows 组 件 报告 错误 ， 或 者 单 击 “ 添 加 ”按钮 添加 需要 报告 错误 的 程 
序 ， 如 图 1-33 所 示 。 


1-32 “选择 程序 ”对 话 框 图 1-33 “添加 程序 ”对 话 框 
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(5) 在 设置 完毕 后 ， 单 击 “ 确 定 ”按钮 返回 到 “系统 属性 ”对 话 框 ， 即 可 应 用 设置 。 
1.3 设置 文件 夹 选项 


Windows Server 2003 为 用 户 提供 了 统一 的 资源 管理 器 文件 与 文件 夹 的 显示 风格 。 这 样 ， 
用 户 可 以 通过 设置 “文件 夹 选 项 ”来 完成 个 性 化 的 系统 文件 和 文件 夹 显示 。 下 面 就 从 常规 属 
性 、 查 看 属性 、 文 件 类 型 属性 和 脱 机 文件 属性 等 方面 分 别 设置 文件 夹 属性 。 


1.3.1 “常规 ”属性 的 设置 


文件 夹 的 常规 属性 包括 文件 夹 的 显示 风格 、 浏 览 文件 夹 的 方式 以 及 打开 项 目的 方式 等 。 
具体 的 设置 步骤 如 下 。 

(1) 通过 “开始 ”菜单 打开 “控制 面板 ”窗口 ， 双 击 “ 文 件 夹 选 项 ”图 标 ， 打 开 “ 文 件 
夹 选项 ”对 话 框 ， 或 者 在 资源 管理 器 的 菜单 栏 中 选择 “工具 ”| “文件 夹 选项 ”命令 ， 在 弹出 
的 “文件 夹 选 项 ”对 话 框 中 选择 打开 “常规 ”选项 卡 ， 如 图 1-34 所 示 。 

(2) 在 “任务 ”选项 区 域内 ， 如 果 选 择 “ 使 用 Windows 传统 风格 的 文件 夹 ” 单 选 按钮 ， 
文件 夹 将 以 传统 风格 显示 ; 如 果 选 择 “ 在 文件 夹 中 显示 常见 任务 ” 单 选 按钮 ， 则 资源 管理 器 
在 显示 文件 夹 的 同时 ， 窗 口 的 左 侧 也 会 显示 系统 任务 和 文件 夹 的 常见 任务 ， 如 图 1-35 所 示 。 
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图 1-34 “常规 ”选项 卡 图 1-35 显示 常见 任务 选项 的 资源 管理 器 窗口 


(3) 在 “浏览 文件 夹 ” 选 项 区 域内 ， 如 果 选 中 “在 同一 窗口 中 打开 每 个 文件 夹 ” 单 选 按 
钮 时 ， 则 在 “资源 管理 器 ”中 打开 文件 夹 时 只 出 现 一 个 窗口 ， 而 不 会 出 现 多 个 窗口 。 这 样 就 
不 会 每 打开 一 个 文件 夹 出 现 一 个 窗口 ， 导 致 在 屏幕 上 出 现 很 多 窗口 了 ; 如 果 选 中 “在 不 同窗 
口中 打开 不 同 的 文件 夹 ” 单 选 按钮 ， 则 在 “资源 管理 器 ”中 每 打开 一 个 文件 夹 都 会 弹出 相应 
的 窗口 ， 这 样 用 户 打开 文件 夹 的 数量 就 对 应 于 窗口 的 数量 。 
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(4) 在 “打开 项 目的 方式 ”选项 区 域内 ， 如 果 选 择 “ 通 过 单 击 打开 项 目 (指向 时 选 定 )” 单 
选 按钮 时 ， 窗 口内 的 图 标 将 以 超 文本 的 方式 显示 ， 单 击 图 标 之 后 都 将 打开 文件 夹 文 件 )、 启 
动 应 用 程序 : 关联 的 两 个 单 选 按钮 “根据 浏览 器 设置 给 图 标 标题 加 下 划 线 ”和 “ 仅 当 指 向 图 
标 标题 时 加 下 划 线 ” 则 用 于 设置 图 标 出 现下 划 线 的 时 间 ; 如 果 选 择 “ 通 过 双击 打开 项 目 ( 单 击 
时 选 定 )” 单 选 按钮 ， 则 对 鼠标 的 操作 将 表现 为 Windows 的 传统 风格 。 

(5) 在 对 上 述 设置 选项 进行 了 更 改 后 , 如 果 需 要 采用 系统 的 默认 常规 选项 , 可 以 单 击 “ 还 
原 为 默认 值 ”按钮 ， 使 窗口 的 图 标 还 原 为 默认 的 常规 属性 。 


1.3.2 “查看 ”属性 的 设置 


文件 夹 的 查看 属性 主要 是 通过 文件 夹 的 视图 选项 来 设置 的 。 在 “文件 夹 选 项 ”对 话 框 中 
选择 “查看 ”选项 卡 ， 该 选项 卡 由 “文件 夹 视图 ”和 “高 级 设置 ”两 个 选项 区 域 组 成 ， 如 图 
1-36 所 示 。 
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1-36 “查看 ”选项 卡 


“文件 夹 视图 ”选项 区 域 比较 简单 ， 当 单 击 “ 应 用 到 所 有 文件 夹 ”按钮 时 ， 会 把 当前 打 
开 的 文件 夹 的 视图 设置 应 用 到 所 有 的 文件 夹 属性 中 去 单 击 “ 重 置 所 有 文件 夹 ”按钮 ， 将 恢 
复 文件 夹 视图 的 默认 值 ， 这 样 用 户 可 以 重新 设置 所 有 的 文件 夹 属性 。 

在 “高 级 设置 ”选项 区 域内 ， 有 很 多 关于 文件 夹 和 文件 的 视图 设置 选项 ， 用 户 可 以 根据 
个 人 需要 选择 不 同 的 设置 选项 ， 实 现 个 性 化 的 配置 。 例 如 ， 选 中 “ 记 住 每 个 文件 夹 的 视图 设 
置 ” 复 选 框 ， 可 以 记录 用 户 每 次 打开 的 文件 属性 (如 位 置 、 显 示 方 式 、 图 标 排列 等 )， 可 以 在 下 
次 打开 文件 夹 时 使 用 ， 选 中 “在 标题 栏 显示 完整 路 径 ” 复 选 框 ， 则 可 以 使 访问 文件 的 路 径 完整 
地 显示 在 窗口 的 标题 栏 中 ， 这样 如 果 打开 或 浏览 文件 的 层次 较 深 ,， 可 以 从 标题 栏 内 了 解 文件 的 
具体 位 置 ， 选 中 “隐藏 已 知 文件 类 型 的 扩展 名 ” 复 选 框 ， 则 可 以 隐藏 已 知 文件 类 型 的 扩展 名 ， 
这 样 从 文件 名 的 显示 中 就 无 法 判断 文件 的 类 型 ， 防 止 恶意 更 改 文件 类 型 ， 增 强 文件 数据 的 安全 


性 ; 如 果 选 中 “在 文件 夹 提示 中 显示 文件 大 小 信息 ” 复 选 框 ， 这 时 当 把 鼠标 放 在 文件 夹 图 标 上 
时 出 现 的 提示 信息 会 显示 包含 的 文件 大 小 ， 有 助 于 用 户 了 解 磁盘 空间 的 具体 使 用 情况 。 


1.3.3 “文件 类 型 ”属性 的 设置 


“文件 夹 选项 ”的 文件 类 型 属性 主要 记录 了 在 Windows 中 登记 的 应 用 程序 文件 。 一 般 情 
况 下 , 在 Windows Server 2003 中 安装 了 一 个 应 用 程序 时 , 系统 都 会 登记 注册 该 程序 并 根据 程 
序 的 功能 与 具有 相应 扩展 名 的 文件 进行 关联 。 在 与 文件 关联 之 后 ， 直 接 双 击 被 关联 的 文件 就 
可 以 打开 应 用 程序 对 文件 进行 编辑 处 理 。 用 户 也 可 以 新 建 或 修改 文件 与 应 用 程序 的 关联 。 

下 面 介绍 具体 的 操作 步 又。 

(1) 打开 “文件 夹 选项 ”对 话 框 ， 选 择 “文件 类 型 ”选项 卡 ， 如 图 1-37 所 示 。 

(2) 在 “文件 类 型 ”选项 卡 的 “已 注册 的 文件 类 型 ”列表 框 中 列 出 了 已 经 在 系统 中 注册 
过 的 文件 类 型 与 文件 所 使 用 的 扩展 名 之 间 的 关联 关系 。 在 列表 框 中 选 定 一 个 文件 类 型 ， 选 项 
卡 下 方 的 “详细 信息 ”选项 区 域 中 就 会 列 出 此 类 型 文件 的 详细 信息 ， 包 括 文件 的 打开 方式 和 
一 些 高 级 设置 等 。 

(3) 如 果 用 户 要 创建 文件 的 关联 或 者 注册 新 的 文件 类 型 ， 可 以 单 击 “ 新 建 ” 按钮 ， 打 开 “ 新 
建 扩展 名 ”对 话 框 。 再 单 击 “ 高 级 ”按钮 ， 打 开 扩展 的 “新 建 扩展 名 ”对 话 框 ， 如 图 1-38 所 示 。 
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1-37 “文件 类 型 ”选项 卡 图 1-38 “新 建 扩展 名 ”对 话 框 


在 该 对 话 框 的 “文件 扩展 名 ”文本 框 中 输入 要 新 建 关联 的 文件 扩展 名 ， 在 “关联 的 文件 
类 型 ”下 拉 列 表 中 可 以 选 定 文件 类 型 。 设 置 完毕 后 ， 单 击 “确定 ”按钮 ， 这 样 在 “已 注册 的 
文件 类 型 ”列表 框 中 就 可 以 看 到 新 建 的 文件 类 型 。 

(4) 如 果 要 更 改 已 建立 关联 的 文件 打开 方式 , 即 用 其 他 应 用 程序 来 打开 当前 类 型 的 文件 ， 
可 以 在 “已 注册 的 文件 类 型 ”列表 框 中 先 选 定 要 更 改 的 文件 类 型 ， 然 后 在 选项 卡 下 方 的 详细 
信息 框 中 单 击 “更 改 ”按钮 ， 打 开 “ 打 开 方 式 ” 对 话 框 ， 如 图 1-39 所 示 。 

“打开 方式 ”对 话 框 中 列 出 了 系统 中 已 安装 的 应 用 程序 ， 包 括 用 来 打开 选 定 文件 类 型 的 
“推荐 的 程序 ”。 从 中 选择 想 要 用 来 打开 文件 的 应 用 程序 即 可 ， 如 果 要 使 用 的 应 用 程序 没有 


尺 ) 于 红包 理 二 时 


列 出 来 ， 还 可 以 单 击 “ 浏 览 ” 按 钮 ， 在 “打开 方式 ...” 对 话 框 中 选择 。 最 后 单 击 “ 确 定 ” 按 
钮 使 设置 生效 。 

(5) 如 果 在 设置 完 文件 类 型 关联 之 后 要 修改 设置 ， 可 以 在 “已 注册 的 文件 类 型 ”列表 杠 
中 先 选 中 要 修改 设置 的 文件 类 型 ， 在 “文件 类 型 ”选项 卡 下 方 的 详细 信息 框 中 单 击 “ 高 级 ” 
按钮 ， 打 开 “ 编 辑 文件 类 型 ”对 话 框 ， 如 图 1-40 所 示 。 
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图 1-39 “打开 方式 ”对 话 框 图 140 “编辑 文件 类 型 ”对 话 框 


在 “编辑 文件 类 型 ”对 话 框 中 ， 可 以 根据 需要 对 选 定 的 文件 类 型 进行 一 些 高 级 设置 ， 例 
如 更 改 图 标 和 编辑 操作 等 。 

(6) 如 果 要 删除 列表 框 中 的 文件 类 型 与 应 用 程序 之 间 的 关联 ， 则 可 以 在 列表 框 中 选 定 一 
种 文件 扩展 名 及 文件 类 型 ， 然 后 单 击 “ 删 除 ”按钮 ，Windows 会 提示 用 户 是 否 确定 要 删除 这 
种 文件 扩展 名 ， 单 击 “ 是 ”按钮 即 可 从 系统 中 删除 该 关联 。 

(7) 设置 完 文件 类 型 后 ， 单 击 “ 确 定 ” 按 钮 关闭 “文件 夹 选 项 ”对 话 框 ， 设 置 即 可 生效 。 


1.3.4 “ 脱 机 文件 ”属性 的 设置 


Windows Server 2003 提供 了 强大 的 “ 脱 机 文件 ”功能 ， 使 用 户 在 网 络 中 断 的 情况 下 ， 仍 
然 能 够 暂时 访问 本 机 缓存 的 脱 机 文件 ， 就 像 网 络 未 中 断 一 样 。 在 “文件 夹 选 项 ”对 话 框 中 打 
开 “ 脱 机 文件 ”选项 卡 ， 就 可 以 对 “ 脱 机 文件 ”功能 进行 相应 的 设置 。“ 脱 机 文件 ”选项 卡 
如 图 1-41 所 示 。 


141 “ 脱 机 文件 ”选项 卡 


在 该 选项 卡 中 ， 可 以 对 “ 脱 机 文件 ”功能 进行 相关 设置 ， 具 体内 容 会 在 后 续 章节 中 详细 
介绍 。 例 如 , 选中 “启用 脱 机 文件 ” 复 选 框 ， 即 可 使 用 Windows Server 2003 的 脱 机 文件 设置 ; 
选中 “显示 提醒 程序 ， 每 隔 ” 复 选 枉 ， 则 每 隔 一 段 时 间 系 统 就 会 提醒 用 户 计算 机 处 于 脱 机 状 
态 ; 选中 “在 桌面 上 创建 一 个 脱 机 文件 的 快捷 方式 ” 复 选 框 ， 用 户 只 需 单 击 桌面 上 创建 的 快 
捷 方式 图 标 ， 就 能 以 脱 机 方式 浏览 文件 或 网 页 。 在 “ 供 临时 脱 机 文件 使 用 的 磁盘 空间 ”选项 
区 域 中 拖 动 滑 块 可 以 改变 保存 脱 机 文件 的 磁盘 空间 ， 同 时 ， 这 部 分 空间 的 大 小 以 及 占 磁盘 空 
间 的 百分比 都 将 显示 出 来 。 


1.4 设置 电源 选项 


对 于 作为 服务 器 的 计算 机 来 说 ， 完 善 的 电源 管理 有 利于 保证 系统 安全 、 稳 定 的 运行 。 系 
统管 理 员 在 对 服务 器 的 性 能 进行 优化 时 ， 很 重要 的 一 项 操作 就 是 管理 计算 机 的 电源 ， 配 置 适 
合 本 地 服务 器 运行 的 电源 管理 方案 。 


1.4.1 电源 管理 功能 的 增强 


Windows Server 2003 提供 了 基于 “高 级 配置 和 电源 接口 ”(ACPD 的 电源 管理 技术 ， 大 大 
增强 了 用 户 对 系统 电源 的 管理 。 通 过 ACPI 技术 ， 可 以 在 不 使 用 计算 机 时 ， 将 它 设置 为 休眠 
或 挂 起 状态 ， 而 在 需要 时 能 快速 地 启动 并 节省 电源 能 量 。ACPI 增强 了 计算 机 的 电源 管理 功 
能 。 如 可 以 从 低 耗 能 状态 唤醒 计算 机 运行 病毒 检测 程序 或 进行 其 他 工作 等 。ACPI 技术 为 
Windows Server 2003 提供 了 对 电源 管理 和 即 插 即 用 功能 的 直接 控制 , 而 在 以 往 的 操作 系统 中 这 
些 功能 都 是 由 BIOS 进行 控制 的 。 通 过 ACPI 技术 可 以 进行 多 个 领域 的 管理 ， 包 括 以 下 几 项 。 

e 系统 电源 管理 :可 以 设置 使 电脑 开始 和 结束 系统 睡眠 状态 的 机 制 ， 同 时 提供 允许 任 

何 设备 唤醒 电脑 的 一 般 机 制 。 
e 设备 电源 管理 :描述 了 主板 设备 及 其 用 电 状 态 、 设 备 所 连接 的 电力 来 源 以 及 将 设备 
置 入 不 同 用 电 状 态 的 控件 ， 并 人 允许 操作 系统 将 设备 置 于 某 种 基于 应 用 程序 用 途 的 低 


耗 电 状态 。 
。 处理 器 电源 管理 : 在 处 理 器 空闲 但 尚未 进入 睡眠 状态 时 ， 可 以 使 用 描述 性 的 命令 将 
处 理 器 置 入 低 耗 电 状态 。 


e 电池 管理 : 可 以 将 电池 管理 的 策略 从 APM BIOS 转换 到 ACPI BIOS， 还 能 设置 电池 
电量 不 足 和 电池 电量 警告 的 界限 ， 并 能 计算 电池 的 剩余 容量 和 寿命 。 

在 ACPI 技术 的 支持 下 ， 应 用 程序 可 以 提醒 操作 系统 ， 如 果 它 正在 进行 一 次 时 间 较 长 的 

运算 或 正在 播放 一 部 影片 , 计算 机 不 能 转换 到 低 电能 状态 。 而 操作 系统 也 可 以 提醒 应 用 程序 ， 


尽 j 天 统管 理 上 本 
如 果 它 正在 使 用 电池 电源 ， 应 该 尽量 避免 进行 如 压缩 文件 夹 这 样 耗 电 的 后 台 操作 。 
1.4.2 ”电源 使 用 方案 配置 


Windows Server 2003 提供 了 多 种 电源 使 用 方案 和 节能 设置 , 系统 管理 员 可 以 根据 实际 需 
要 配置 电源 管理 方案 ， 具 体 的 操作 步骤 如 下 。 

(1) 通过 “开始 ”菜单 打开 “控制 面板 ”窗口 ， 双 击 “ 电 源 选 项 ”图 标 ， 系 统 将 打开 “ 电 
源 选项 属性 ”对 话 框 ， 如 图 1-42 所 示 。 

(2) 在 “电源 使 用 方案 ”选项 卡 中 ， 系 统管 理 员 可 以 通过 “电源 使 用 方案 ”下 拉 列 表 选 
择 一 种 电源 管理 方案 。 但 是 作为 服务 器 的 计算 机 应 避免 使 用 节省 电源 的 方案 , 通常 应 选择 “一 
直 开 着 ”的 电源 方案 ， 以 保证 服务 器 的 不 间断 运行 和 用 户 的 正常 访问 。 在 选择 了 “一 直 开 着 ” 
的 电源 方案 后 ， 系 统管 理 员 还 可 以 对 选项 卡 下 方 的 选项 进行 个 别 调整 。 如 可 以 在 保证 服务 器 
的 服务 程序 运行 过 程 中 关闭 显示 器 等 。 

(3) 选择 “高 级 ”选项 卡 ， 如 图 1-43 所 示 。 

如 果 希 望 在 任务 栏 显示 电源 管理 图 标 ， 可 以 选中 “总 是 在 任务 栏 上 显示 图 标 ” 复 选 框 。 
如 果 和 希望 在 计算 机 从 睡眠 状态 恢复 时 提示 输入 密码 , 可 以 选中 “在 计算 机 从 睡眠 状态 恢复 时 ， 
提示 输入 密码 ” 复 选 框 。 另 外 ， 为 了 防止 不 小 心 按 下 计算 机 的 电源 按钮 或 蓄意 破坏 所 进行 的 
强制 按 下 电源 按钮 的 情况 ， 系 统管 理 员 可 以 在 “在 按 下 计算 机 电源 按钮 时 ”下 拉 列 表 中 选择 
“ 问 我 要 做 什么 ”、“ 体 眠 ”或 “待机 ”选项 ， 以 保护 服务 器 的 正常 运行 。 
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图 142 “电源 选项 属性 ”对 话 框 图 1-43 “高 级 ”选项 卡 


(4) 对 于 网 络 服务 器 ， 一 个 性 能 优越 的 UPS 电源 是 其 最 基本 的 配置 。 因 为 如 果 没 有 UPS 
电源 的 支持 ， 很 容易 导致 服务 器 中 数据 的 丢失 、 系 统 文件 毁坏 或 操作 系统 无 法 启动 等 严重 后 
果 ， 一 旦 服务 器 中 的 服务 程序 无 法 正常 运行 ， 那 么 对 用 户 提供 的 诸如 DNS、WINS 等 服务 和 
域 管 理 等 功能 也 将 无 从 谈 起 。Windows Server 2003 进一步 增强 了 Windows Server 2000 中 的 


UPS 管理 功能 , 使 系统 管理 员 可 以 更 方便 地 对 UPS 进行 功能 设置 与 管理 。 在 “电源 选项 属性 ” 
对 话 框 中 选择 UPS 选项 卡 ， 如 图 1-44 所 示 。 
(5) 在 UPS 选项 卡 中 , 系统 管理 员 可 以 很 方便 地 对 UPS 进行 管理 与 配置 , 设计 出 适合 本 


机 使 用 的 电源 应 急 方案 。 要 配置 UPS 电源 ， 需 要 单 击 “ 配 置 ”按钮 打开 “UPS 配置 ”对 话 框 ， 
如 图 1-45 所 示 。 
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图 1-44 UPS 选项 卡 图 1-45 “UPS 配置 ”对 话 框 

在 “UPS 配置 ”对 话 框 中 ， 系 统管 理 员 可 以 启用 电源 中 断 的 通知 功能 。 这 样 ， 当 服务 器 
正在 使 用 的 交流 电 出 现 停电 情况 时 ， 系 统 能 够 自动 将 计算 机 的 电源 切换 为 UPS 电源 ， 并 且 在 
设 定 的 时 间 内 发 出 通知 。 另 外 ， 系 统管 理 员 可 以 选中 “严重 警报 前 ， 电 池 使 用 的 分 钟 数 ” 复 
选 框 ， 并 设 定 计算 机 使 用 UPS 电源 之 后 多 长 时 间 发 出 警报 ， 也 可 以 选中 “ 当 出 现 警报 时 ， 运 
行 这 个 程序 ” 复 选 框 ， 然 后 通过 单 击 “ 配 置 ”按钮 指定 要 运行 的 应 用 程序 ， 使 系统 在 发 出 警 
报时 自动 运行 某 个 特定 程序 ， 以 便 对 当前 系统 中 正在 运行 的 程序 作 保护 性 处 理 。 

(6) 如 果 希 望 启 用 休眠 功能 ， 可 以 选中 “ 休 眼 ”选项 卡 中 的 “启用 休眠 支 持 ” 复 选 框 。 

(7) 设置 完毕 后 ， 单 击 “ 确 定 ” 按 钮 即 可 保存 设置 。 


运行 Windows Server 2003 的 服务 器 最 好 不 要 使 用 关闭 硬盘 、 待 机 和 系统 休眠 等 功能 
选项 。 虽 然 目前 市 场 上 的 许多 主板 都 支持 网 络 唤醒 ， 但 在 服务 器 的 电源 方案 中 还 是 需要 
避免 启用 这 些 功能 项 ， 以 免 造成 用 户 无 法 访问 服务 器 和 使 用 服务 器 提供 的 服务 。 


管理 工具 使 用 


Windows Server 2003 集成 了 基于 Web 的 活动 目录 、 网 络 和 应 用 
服务 ， 既 是 一 个 文件 打印 和 应 用 的 服务 器 端 操作 系统 ， 又 是 一 个 性 能 
更 高 、 工 作 更 稳定 、 管 理 更 方便 的 Web 服务 器 平台 。 正 确 、 有 效 的 管 
理 是 实现 系统 稳定 、 高 效 运行 的 基本 条 件 ，Windows Server 2003 提 
供 了 各 种 系统 管理 工具 来 帮助 系统 管理 员 更 好 地 使 用 、 配 置 系统 。 本 
章 主要 介绍 如 何 使 用 系统 管理 控制 台 和 任务 计划 程序 来 方便 、 快 捷 地 
管理 系统 。 
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加 双生 和 天 天 本 二 
2.1 微软 管理 控制 台 (MMC) 


Windows Server 2003 具有 完善 的 集成 管理 工具 特性 , 这 种 特性 允许 系统 管理 员 为 本 地 和 
远程 计算 机 创建 自 定义 的 管理 工具 。 通 过 使 用 这 些 管 理工 具 ， 系 统管 理 员 可 以 根据 具体 情况 
和 特定 需要 来 灵活 地 完成 各 项 管理 任务 ， 从 而 实现 管理 目标 。 微 软 管理 控制 台 (Microsoft 
Management Console, 简称 MMC ) 为 系统 管理 员 提 供 了 Windows Server 2003 基本 管理 工具 的 
接口 ， 它 集成 了 用 来 管理 Windows 系统 的 网 络 、 计 算 机 、 服 务 及 其 他 系统 组 件 的 管理 工具 。 

MMC 不 执行 管理 功能 , 但 集成 管理 工具 。 作 为 管理 工具 的 运行 平台 , MMC 集成 了 一 些 
被 称 为 管理 单元 的 管理 性 程序 ， 并 提供 了 用 于 创建 、 保 存 和 打开 管理 工具 的 标准 方法 ， 而 系 
统管 理 员 执 行 的 各 种 管理 任务 也 是 通过 管理 单元 来 完成 的 。 人 们 把 MMC 提供 的 标准 接口 的 
管理 工具 称 为 MMC 控制 台 。 


2.1.1 MMC 简介 


系统 管理 员 可 以 对 MMC 控制 台 进行 个 性 化 的 配置 ， 创 建 一 些 特定 的 管理 单元 ， 以 使 不 
同 的 登录 用 户 能 执行 特定 的 管理 任务 。MMC 控制 台 有 两 种 模式 : 用户 模式 和 作者 模式 。 在 
用 户 模式 中 ， 可 以 使 用 已 有 的 MMC 控制 台 ， 在 作者 模式 中 ， 可 以 创建 新 的 控制 台 或 者 修改 
己 有 的 MMC 控制 台 。 

要 启动 MMC 控制 台 ， 可 以 单 击 “ 开 始 ”菜单 ， 选 择 “ 运 行 ”命令 ,在 打开 的 “运行 ” 
对 话 框 中 输入 mmc， 然 后 单 击 “ 确 定 ”按钮 ， 即 可 打开 MMC 控制 台 窗 口 ， 如 图 2-1 所 示 。 
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2-1 ”MMC 控制 台 窗 口 


MMC 控制 台 窗口 由 两 个 窗 格 组 成 ， 左 边 窗 格 显示 的 是 “控制 台 根 节点 ”， 可 以 包含 多 
个 管理 单元 的 树 状 体系 ;右边 窗 格 为 详细 资料 窗 格 ， 其 中 列 出 了 用 户 当前 选择 的 管理 单元 的 
信息 和 有 关 功 能 。 


ER 这 于 管 理 到 是 俩 用 sa 


管理 单元 是 用 户 直接 执行 管理 任务 的 应 用 程序 ， 是 可 以 添加 到 MMC 控制 台中 的 一 种 工 
具 ， 作 为 MMC 控制 台 的 基本 组 件 ， 管 理 单元 总 是 驻 留 在 控制 台中 ， 由 MMC 控制 台 进行 统 
一 管理 。 而 系统 管理 员 可 以 通过 添加 或 删除 一 些 特定 的 管理 单元 ， 使 不 同 的 用 户 执行 特定 的 
管理 任务 。 

Windows Server 2003 提供 了 两 种 类 型 的 管理 单元 : 一 种 是 独立 的 管理 单元 ， 另 一 种 是 扩 
展 的 管理 单元 。 

独立 的 管理 单元 一 般 简 称 为 管理 单元 ， 可 以 将 其 添加 到 控制 台 根 节点 下 ， 作 为 控制 台 根 
节点 的 一 个 项 目 。 每 个 管理 单元 提供 一 组 相关 的 功能 ， 方 便 用 户 对 系统 进行 相关 的 操作 。 用 
户 也 可 以 把 一 些 功 能 相似 的 管理 单元 组 合 起 来 ， 创 建 自 定义 的 MMC 控制 台 。 扩 展 的 管理 单 
元 又 称 为 扩展 ， 是 为 管理 单元 提供 额外 管理 功能 的 管理 单元 ， 一 般 添加 到 已 经 有 了 独立 的 或 
者 扩展 的 管理 单元 的 控制 台 根 节点 下 ， 用 来 扩展 其 他 管理 单元 的 功能 。 当 用 户 添加 扩展 时 ， 
Windows Server 2003 会 在 独立 管理 单元 的 合适 位 置 上 显示 出 能 和 其 相 兼 容 的 扩展 ， 这 些 扩展 
也 能 操作 由 管理 单元 控制 的 对 象 。 当 用 户 在 控制 台中 添加 一 个 管理 单元 时 ，MMC 控制 台 会 
自动 添加 该 管理 单元 的 所 有 可 用 的 扩展 。 


Windows Server 2003 提供 了 各 种 标准 的 管理 单元 ， 用 户 在 控制 台中 添加 管理 单元 
时 ,一 般 只 能 添加 这 些 标准 管理 单元 。 如 果 本 地 计算 机 是 域 的 一 部 分 ， 那 么 用 户 也 可 
以 添加 域 中 活动 目录 下 的 管理 单元 。 


2.1.2 ”MMC 控制 台 模式 


MMC 控制 台 模式 决定 了 控制 台 的 运行 方式 和 用 户 使 用 控制 台 的 功能 权限 。Windows Server 
2003 提供 了 作者 模式 和 用 户 模式 两 种 控制 台 模 式 。 

如 果 将 MMC 控制 台 模式 设置 为 作者 模式 ， 就 意味 着 用 户 具有 对 MMC 控制 台 的 所 有 功 
能 的 完全 访问 权限 。 在 默认 情况 下 ， 新 建 的 MMC 控制 台 都 是 作者 模式 的 ， 在 该 模式 下 ， 用 
户 可 以 添加 或 删除 管理 单元 、 查 看 控制 台 根 节点 下 的 所 有 部 分 、 保 存 控制 台 文件 等 。 而 当 
MMC 控制 台 设 置 为 用 户 模式 时 ， 就 不 能 向 控制 台中 添加 或 删除 某 个 管理 单元 ， 也 不 能 保存 
控制 台 。 用 户 模式 下 还 有 3 种 不 同 的 访问 权限 。 

。 完全 访问 

允许 用 户 查 看 控制 台 根 节点 下 的 所 有 管理 单元 ， 可 以 创建 新 窗口 ， 但 禁止 用 户 添加 或 删 
除 管 理 单元 或 更 改 控制 台 的 属性 。 


双生 天 辽河 


se 受 限 访问 和 多 窗口 

人 允许 用 户 访问 在 保存 控制 台 时 可 见 的 管理 单元 区 域 ， 可 以 创建 新 窗口 ， 但 不 能 关闭 已 有 
的 窗口 。 

e 受 限 访问 和 单 窗口 

允许 用 户 访问 在 保存 控制 台 时 可 见 的 管理 单元 区 域 ， 但 不 能 打开 新 窗口 。 

设置 MMC 控制 台 模式 的 具体 操作 步骤 如 下 。 

(1) 在 图 2-1 所 示 的 MMC 控制 台 窗口 中 选择 “文件 ” |“ 选项” 命令， 打开 控制 台 的 “ 选 
项 ”对 话 框 ， 并 选择 “控制 台 ” 选 项 卡 ， 如 图 2-2 所 示 。 

(2) 在 “控制 台 ” 选 项 卡 的 “控制 台 模式 ”下 拉 列 表 中 列 出 了 可 供 选择 的 4 种 MMC 控 
制 台 模式 ， 用 户 可 以 根据 需要 选择 一 种 模式 。 可 以 通过 “作者 模式 ”来 保证 用 户 对 MMC 控 
制 台 功 能 的 完全 访问 ， 包 括 添加 或 删除 管理 单元 ， 创 建新 窗口 或 任务 板 视图 等 。 而 选择 “用 
户 模式 ”的 不 同 访问 级 别 ， 可 以 赋予 用 户 适 当 的 权限 ， 以 维护 系统 的 安全 性 。 

(3) 在 “控制 台 ” 选 项 卡 中 还 可 以 设置 控制 台 的 保存 选项 。 如 果 在 “作者 模式 ”下 对 控 
制 台 进行 操作 ， 关 闭 控制 台 时 系统 会 提示 用 户 保存 所 作 的 修改 ; 如 果 在 “用 户 模式 ”下 操作 ， 
但 没有 选中 “不 要 保存 更 改 到 此 控制 台 ” 复 选 框 ， 则 关闭 控制 台 时 系统 会 自动 保存 用 户 所 作 
的 修改 。 

(4) 对 控制 台 文 件 的 更 改 保存 在 用 户 的 配置 文件 中 ， 如 果 用 户 使 用 控制 台 执行 完 某 个 特 
定 的 管理 任务 后 ， 不 想 保存 所 做 的 控制 台 文件 的 更 改 ， 可 以 在 控制 台 的 “选项 ”对 话 框 中 选 
择 “ 磁 盘 清 理 ” 选 项 卡 ， 单 击 “ 删 除 文件 ”按钮 ， 即 可 删除 保存 在 用 户 配 置 文件 中 的 这 些 控 
制 台 更 改 文件 ， 如 图 2-3 所 示 。 
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2-2 “控制 台 ” 选 项 卡 2-3 “磁盘 清理 ”选项 卡 


注 
释 
对 控制 台 模式 所 作 的 更 改 将 在 下 次 启动 MMC 控制 台 时 生效 。 


2.1.3 使 用 MMC 控制 台 


一 般 情 况 下 , 用 户 通 过 MMSC 控制 台 完成 Windows Server 2003 的 大 多 数 管理 任务 时 ， 既 
可 以 使 用 系统 预先 设置 的 MMC 控制 台 ， 也 可 以 使 用 自 定 义 MMC 控制 台 ， 以 方便 管理 。 
1. 使 用 预 设置 的 MMC 控制 台 


预 设置 的 MMC 控制 台 是 操作 系统 的 一 部 分 ， 包 含 常用 的 管理 单元 ， 一 般 可 以 完成 系统 
常见 的 管理 任务 。 这 些 控制 台 通常 保存 在 控制 面板 的 “管理 工具 ”文件 夹 中 , 也 可 以 通过 “ 开 
始 ” 菜 单 访问 这 些 预 设置 的 MMC 控制 台 。 

一 般 预 设置 的 MMC 控制 台 仅 包含 一 个 管理 单元 ， 提 供 执行 相应 管理 工作 的 功能 。 
Windows Server 2003 为 预 设置 的 MMC 控制 台 默 认 提供 的 控制 台 模 式 是 “用 户 模式 - 受 限 访 
问 ， 单 窗口 ”， 在 该 模式 下 ， 用 户 不 能 对 预 设置 的 MMC 控制 台 进行 修改 或 保存 ， 当 然 也 不 
能 添加 或 删除 管理 单元 。 

要 使 用 预 设置 的 MMC 控制 台 ， 可 以 单 击 “ 开 始 ” 菜 单 ， 选 择 “ 管 理工 具 ” 命 令 ， 即 可 
从 弹出 的 子 菜单 中 选择 要 使 用 的 管理 工具 控制 台 ， 如 图 2-4 所 示 。 
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2-4 选择 使 用 预 设置 的 MMC 控制 台 


2. 创建 自 定义 的 MMC 控制 台 


由 于 系统 预 设置 的 MMC 控制 台 一 般 只 能 完成 单一 的 任务 ， 用 户 如 果 要 完成 比较 复杂 的 
管理 任务 ， 就 需要 在 不 同 的 预 设置 MMC 控制 台 之 间 进 行 切换 ， 从 而 带 来 管理 上 的 不 方便 。 
而 通过 创建 自 定义 的 MMC 控制 台 就 可 以 把 完成 单个 任务 的 多 个 管理 单元 组 合 在 一 起 ， 使 用 
一 个 统一 的 管理 界面 来 完成 大 多 数 的 管理 任务 。 下 面 就 介绍 创建 自 定义 的 MMC 控制 台 的 具 
体 步 又 。 

(1) 单 击 “ 开 始 ”按钮 ， 选 择 “ 运 行 ”命令 ， 在 打开 的 “运行 ”对 话 框 中 输入 mmc， 然 
后 单 击 “确定 ”按钮 ， 即 可 打开 一 个 空白 的 MMC 控制 台 窗口 ， 如 图 2-5 所 示 。 
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(2) 空白 MMC 控制 台 窗口 的 默认 模式 是 作者 模式 ， 以 方便 用 户 向 控制 台 添加 新 的 管理 
单元 或 删除 已 有 的 管理 单元 。 在 该 窗口 中 选择 “文件 ”|“ 添 加 /删除 管理 单元 ”菜单 命令 ， 即 
可 打开 “添加 /删除 管理 单元 ”对 话 框 ， 如 图 2-6 所 示 。 


CE | 
“添加 /删除 管理 单元 ”对 话 框 


图 2-5 空白 的 MMC 控制 台 窗 口 图 2-6 


(3) 如 果 要 添加 管理 单元 ， 可 以 选择 “独立 ”选项 卡 ， 从 “管理 单元 添加 到 ”下 拉 列 表 
中 选择 管理 单元 要 添加 的 目的 地 。 然 后 单 击 “ 添 加 ”按钮 打开 “添加 独立 管理 单元 ”对 话 框 ， 
如 图 2-7 所 示 。 

在 “添加 独立 管理 单元 ”对 话 框 中 ， 从 “可 用 的 独立 管理 单元 ”列表 框 中 选择 要 添加 的 
独立 管理 单元 ， 单 击 “ 添 加 ”按钮 即 可 添加 该 管理 单元 。 如 果 还 要 向 控制 台中 添加 其 他 项 目 ， 
可 按照 上 面 的 步骤 重复 进行 添加 。 当 用 户 在 选择 要 添加 的 管理 单元 时 ，“ 描 述 ” 选 项 区 域 中 
会 显示 关于 该 管理 单元 的 功能 说 明 。 独 立 管理 单元 添加 好 之 后 ， 单 击 “ 关 闭 ” 按 钮 关闭 该 

(4) 在 “独立 ”选项 卡 中 ， 用 户 还 可 以 将 已 添加 过 的 不 常用 的 管理 单元 删除 。 从 管理 单 
元 列表 框 中 选择 要 删除 的 管理 单元 ， 然 后 单 击 “ 删 除 ” 按 钮 即 可 。 


(5) 有 的 管理 单元 带 有 扩展 ， 如 果 用 户 想 添 加 这 些 管理 单元 的 扩展 ， 可 以 选择 “扩展 ” 
选项 卡 ， 如 图 2-8 所 示 。 


2-7 “添加 独立 管理 单元 ”对 话 框 2-8 “扩展 ”选项 卡 
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(6) 在 “扩展 ”选项 卡 中 ， 从 “可 扩展 的 管理 单元 ”下 拉 列 表 框 选 择 要 扩展 的 管理 单元 ， 
这 时 ， 在 “可 用 的 扩展 ”列表 框 中 会 列 出 该 管理 单元 的 扩展 项 目 ， 选 中 项 目前 的 复 选 框 ， 即 
可 完成 添加 。 另 外 ， 在 选择 扩展 项 目 后 ， 单 击 “ 关 于 ”按钮 即 可 打开 “属性 ”对 话 框 查看 该 
扩展 项 目的 详细 情况 ， 单 击 “ 下 载 ”按钮 ， 可 以 从 网 络 上 添加 管理 单元 的 扩展 内 容 。 

(7) 单 击 “ 确 定 ”按钮 ， 即 可 完成 设置 。 

(8) 要 保存 创建 的 MMC 控制 台 ， 选 择 “ 文 件 ”|“ 保 存 ” 命 令 即 可 。 控 制 台 文件 以 msc 
为 扩展 名 。 保 存 控制 台 文件 后 ， 可 以 用 电子 邮件 或 者 网 络 发 送 给 其 他 用 户 。 


要 保存 创建 的 MMC 控制 台 ， 用 户 必 须 以 作者 模式 打开 MMC 控制 台 。 


2.2 ”系统 服务 


系统 服务 是 主要 用 来 提供 网 络 连接 、 错 误 检测 、 安 全 性 和 其 他 基本 操作 系统 功能 的 管理 
控制 台 。 通 过 系统 服务 ， 系 统管 理 员 可 以 管理 本 地 或 远程 计算 机 的 服务 。 在 Windows Server 
2003 中 ， 系 统管 理 员 还 可 以 设置 在 系统 的 某 个 服务 项 目 运行 失败 时 所 采取 的 挽救 措施 ， 同 时 
也 可 以 为 特定 的 服务 项 目 创建 用 户 自 定义 的 名 称 和 描述 ， 以 便 用 户 能 够 更 好 地 识别 它们 。 


2.2.1 Windows Server 2003 提供 的 系统 服务 


在 Windows Server 2003 中 ， 系统 为 用 户 提供 了 多 种 服务 和 功能 。 例 如 ,用户 可 以 使 用 系 
统 服务 进行 磁盘 备份 管理 、 系 统 错误 检测 、 性 能 监视 等 操作 。 系 统 服 务 提供 的 项 目 有 扩展 和 
标准 两 种 ， 要 查看 系统 服务 项 目 ， 可 以 选择 “开始 ”菜单 ， 选 择 “ 管 理工 具 ” 子 菜单 中 的 “ 服 
务 ” 命 令 即 可 打开 “服务 ”窗口 ， 如 图 2-9 所 示 。 


2-9 “服务 ”窗口 
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在 “服务 ”窗口 中 左边 窗 格 显示 的 是 本 地 服务 ， 而 右边 窗 格 则 包含 “扩展 ”和 “标准 ” 
两 个 服务 项 目 详细 资料 的 选项 卡 , 在 选项 卡 中 列 出 了 系统 默认 的 各 种 服务 的 名 称 、 功能 描述 、 
状态 和 启动 类 型 。 例 如 ， 在 “扩展 ”选项 卡 中 列 出 了 Alerter 服务 ， 在 “描述 ” 列 中 说 明了 该 
服务 的 功能 ， 以 及 在 发 生 服务 失败 时 ， 为 选 定 的 用 户 或 计算 机 提供 通知 ; “标准 ”选项 卡 
中 列 出 了 Virtual Disk Service 服务 , 在 “描述 ” 列 中 说 明 该 服务 提供 软件 卷 和 硬件 卷 的 管理 
服务 。 

除了 默认 的 系统 服务 之 外 ， 还 有 许多 其 他 的 服务 可 以 导入 和 印 载 ， 这 些 服务 也 可 以 提供 
系统 管理 的 某 些 功能 。 例 如 ， 用 户 要 使 用 一 个 可 以 作为 系统 服务 运行 的 ， 能 在 指定 时 间 间 隔 
内 进行 备份 的 软件 。 在 安装 该 软件 时 ， 软 件 的 基于 调度 功能 的 系统 服务 会 自动 安装 到 系统 服 
务 列表 中 。 通 过 系统 服务 列表 中 的 服务 ， 用 户 可 以 方便 地 进行 系统 管理 。 


2.2.2 ”设置 系统 服务 


用 户 还 可 以 根据 个 人 的 需要 对 系统 提供 的 服务 进行 相关 的 设置 ， 使 之 更 方便 地 应 用 于 系 
统 的 管理 。 如 可 以 对 使 用 频率 不 同 的 系统 服务 设置 不 同 的 启动 类 型 ， 指 定 系统 服务 的 登录 用 
户 等 。 


1. 启动 系统 服务 


Windows Server 2003 对 系统 服务 提供 了 3 种 启动 时 的 选项 , 允许 用 户 灵活 地 选择 系统 中 
服务 的 初始 启动 方式 。 例如 , 对 于 必要 的 和 常用 的 服务 , 用 户 可 以 把 启动 方式 设置 为 “自动 ”， 
系统 启动 时 会 自动 把 该 服务 装 入 ; 对 于 不 是 很 常用 的 服务 ， 启 动 方式 可 以 设置 为 “手动 ”， 
这 样 在 系统 启动 后 根据 用 户 的 需要 再 手动 地 启动 系统 服务 ， 而 对 于 一 些 暂 时 不 会 用 到 的 系统 
服务 ， 可 以 直接 设置 为 “禁用 ”。 

如 果 要 设置 或 更 改 系统 服务 的 启动 方式 ， 可 以 按照 下 面 的 步骤 操作 。 

(1) 在 系统 服务 控制 台 的 服务 列表 中 右 击 要 设置 的 系统 服务 名 称 ， 从 弹出 的 快捷 菜单 中 
选择 “属性 ”命令 ， 打 开 该 服务 的 “属性 ”对 话 框 ， 如 图 2-10 所 示 。 

(2) 在 “属性 ”对 话 框 的 “常规 ”选项 卡 中 列 出 了 所 选 服务 的 名 称 、 描 述 和 可 执行 文件 
的 路 径 等 信息 ， 根 据 需 要 在 “启动 类 型 ”下 拉 列 表 中 选择 “自动 ”、“ 手 动 ”或 “禁用 ”的 
服务 启动 方式 。 

(3) 如 果 在 系统 运行 过 程 中 ， 需 要 启动 某 个 原本 是 处 于 “禁用 ”状态 的 服务 ， 可 以 在 “ 启 
动 参数 ”文本 框 中 输入 启动 服务 时 所 使 用 的 参数 ， 单 击 “ 启 动 ”按钮 即 可 打开 “服务 控制 ” 
对 话 框 ， 其 中 显示 了 服务 启动 的 进度 ， 如 图 2-11 所 示 。 


有 


Sil 


图 2-10 ”服务 的 “属性 ”对 话 框 图 2-11 “服务 控制 ”对 话 框 


2. 服务 登录 选项 


Windows Server 2003 的 许多 服务 通常 使 用 “系统 帐号 ”登录 到 系统 ， 但 系统 管理 员 也 可 
以 把 一 些 服务 设置 为 使 用 特定 的 用 户 帐户 登录 ， 提 高 系统 管理 的 安全 性 。 设 置 服务 登录 方式 


的 具体 步骤 如 下 。 
(1) 在 “属性 ”对 话 框 中 选择 “登录 ”选项 卡 ， 在 “登录 身份 ”选项 区 域 中 ， 通 常情 况 
下 选中 的 是 “系统 帐户 ” 单 选 按钮 ， 如 图 2-12 所 示 。 
(2) 如 果 用 户 要 为 该 服务 指定 登录 身份 ， 可 以 选择 “此 帐户 ” 单 选 按 钮 ， 然 后 单 击 “ 浏 
览 ” 按 钮 ， 系 统 将 会 打开 “选择 用 户 ” 对 话 框 ， 如 图 2-13 所 示 ， 用 户 可 以 从 中 选择 一 个 登录 
帐户 ， 最 后 单 击 “ 确 定 ”按钮 即 可 。 
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2-12 “登录 ”选项 卡 2-13 “选择 用 户 ”对 活 框 


”在 “登录 ”选项 卡 的 硬件 配置 文件 列表 框 中 ， 如 果 列 出 的 硬件 配置 文件 的 服务 状 
态 栏 中 标明 了 “已 启用 ”， 则 说 明 使 用 此 硬件 配置 文件 启动 系统 时 ， 该 项 服务 是 可 以 被 
启用 的 。 
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3. 故障 恢复 选项 


在 服务 “属性 ”对 话 框 的 “恢复 ”选项 卡 中 ， 用 户 可 以 设置 在 服务 启动 失败 时 所 采取 的 
相应 措施 ， 具 体 的 设置 步骤 如 下 。 

(1) 选择 “属性 ”对 话 框 的 “恢复 ”选项 卡 ， 可 以 指定 在 服务 第 一 次 失败 、 第 二 次 失败 
和 后 续 失 败 时 系统 应 采取 的 相应 操作 :不 操作 、 重 新 启动 服务 、 运 行 一 个 程序 或 重新 启动 计 
算 机 ; 同时 指定 重 置 失败 计数 的 间隔 天 数 ， 如 图 2-14 所 示 。 

(2) 如 果 在 服务 失败 时 计算 机 的 反应 中 选择 了 “重新 启动 服务 ”操作 ， 则 需要 在 “重新 
启动 服务 ”文本 框 中 指定 其 启动 的 间隔 时 间 ; 如 果 选 择 “ 运 行 一 个 程序 ”操作 ， 则 需要 在 “ 运 
行程 序 ” 选 项 区 域 中 单 击 “浏览 ”按钮 ， 指 定 要 运行 的 程序 和 命令 行 参 数 ， 如 果 选 择 “ 重 新 
启动 计算 机 ”操作 ， 则 可 以 单 击 “ 重 新 启动 计算 机 选项 ” 按钮， 打开“ 重新 启动 计算 机 选项 ” 
对 话 框 ， 设 置 相 应 的 选项 即 可 ， 如 图 2-15 所 示 。 


2-14 “恢复 ”选项 卡 2-15 “重新 启动 计算 机 选项 ”对 话 框 


(3) 最 后 单 击 “确定 ”按钮 ， 即 可 完成 设置 。 
4. 服务 的 依存 关系 


系统 中 有 些 服务 可 能 依赖 于 其 他 服务 或 系统 组 件 的 正常 运行 ， 如 果 系统 的 某 个 服务 或 组 
件 被 停止 或 不 能 正常 运行 , 将 会 导致 依赖 于 它 的 服务 不 能 正常 运行 。 在 “属性 ” 对 话 框 的 “ 依 
存 关 系 ” 选 项 卡 中 可 以 清楚 地 看 到 各 个 服务 之 间 相 互 依存 的 关系 。 
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2-16 “依存 关系 ”选项 卡 


选择 “依存 关系 ”选项 卡 ， 如 图 2-16 所 示 。 在 “依存 关系 ”选项 卡 的 “此 服务 依赖 以 下 
系统 组 件 ” 列 表 框 中 列 出 了 选 定 的 服务 所 依存 的 服务 项 目 或 系统 组 件 列表 ; “以 下 系统 组 件 
依赖 此 服务 ”列表 框 中 则 列 出 了 依赖 当前 选 定 服务 的 服务 项 目 或 系统 组 件 列表 。 


2.3 ”任务 计划 程序 


任务 计划 程序 是 Windows Server 2003 的 管理 工具 之 一 ,主要 用 于 调度 安排 那些 需要 在 特 
定时 间 内 运行 的 程序 。 使 用 任务 计划 程序 ， 用 户 可 以 安排 任何 命令 、 程 序 或 文档 在 特定 的 时 
间 内 运行 ， 也 可 以 更 改 创建 的 任务 计划 或 停止 已 计划 好 的 任务 ， 大 大 方便 了 系统 管理 员 对 于 
某 些 程序 的 调度 管理 。 


2.3.1 了 解 任务 计划 程序 


任务 计划 程序 可 以 帮助 用 户 计 划 需 要 完成 的 任务 ， 安 排 一 些 程序 在 每 天 、 每 星期 或 者 每 
月 的 某 些 时 刻 运行 ， 更 改 任务 的 计划 或 自 定义 任务 如 何在 计划 的 时 间 内 运行 等 。 要 启动 任务 
计划 程序 ， 可 以 在 “控制 面板 ”中 选择 “任务 计划 ”选项 ， 在 打开 的 “任务 计划 ”窗口 中 双 
击 “ 添 加 任务 计划 ”命令 ， 即 可 启动 “添加 任务 计划 ”向 导 ， 如 图 2-17 所 示 。 
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图 2-17 “任务 计划 ”窗口 


“任务 计划 向 导 ” 能 够 帮助 用 户 计 划 Windows 任务 的 运行 时 间 , 通过 该 向 导 也 可 以 修改 、 
删除 或 停止 已 经 计划 的 任务 ， 查 看 原 有 计划 任务 的 日 志 ， 或 者 查看 在 远程 计算 机 上 的 计划 任 
务 。 通 过 “任务 计划 程序 ”， 用 户 可 以 把 经 常 运行 的 程序 添加 到 计划 任务 中 ， 以 节省 重复 操 
作 的 时 间 ， 从 而 提高 效率 。 


2.3.2 ”创建 计划 任务 


通过 “任务 计划 向 导 ” 用 户 可 以 很 方便 地 创建 计划 任务 ， 其 具体 的 操作 步骤 如 下 。 
(1) 在 “任务 计划 ”窗口 中 双击 “添加 任务 计划 ”图 标 打 开 “ 任 务 计划 向 导 ” 对 话 框 ， 


Ry Windows 
ScCnver2003ET3Do 


该 向 导 要 求 用 户 选择 要 运行 的 程序 ， 如 图 2-18 所 示 。 

(2) 单 击 “ 下 一 步 ”按钮 打开 应 用 程序 列表 ， 用 户 可 以 从 Windows Server 2003 注册 的 应 
用 程序 列表 中 选择 要 计划 运行 的 程序 ， 也 可 以 单 击 “ 浏 览 ” 按 钮 ， 指 定 一 个 要 计划 运行 的 程 
序 ， 如 图 2-19 所 示 。 
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图 2-18 “任务 计划 向 导 ” 首 页 图 2-19 选择 要 计划 的 应 用 程序 


(3) 选择 了 要 计划 运行 的 程序 之 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 将 打开 如 图 2-20 所 示 的 对 话 
框 ， 要 求 用 户 设 定 该 任务 计划 执行 的 频率 ， 可 以 选择 每 天 、 每 周 、 每 月 、 一 次 性 、 计 算 机 启 
动 时 或 者 当 用 户 登 录 时 。 

(4) 在 指定 好 任务 执行 的 时 间 频 率 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 在 打开 的 设置 时 间 对 话 杠 
中 ， 要 求 用 户 指定 任务 执行 的 起 始 时 间 和 起 始 日 期 ， 也 可 以 指定 多 少 天 后 重复 执行 该 任务 ， 
如 图 2-21 所 示 。 


《上 - 步 四 [下 - 志 加 ] RN 《上 -和 步 四 [- 步 mn WL] 


2-20 ”指定 任务 执行 的 时 间 频 率 图 2-21 指定 任务 运行 的 起 始 时 间 和 日 期 


(5) 设置 完 任务 运行 的 起 始 时 间 和 日 期 后 ， 单 击 “ 下 一 步 ”按钮 ， 将 出 现 设置 用 户 名 和 
密码 的 对 话 框 ， 在 该 对 话 框 中 要 求 用 户 指定 该 任务 所 属 的 用 户 帐户 及 密码 ， 以 设置 任务 运行 
的 安全 环境 ， 如 图 2-22 所 示 。 同 一 台 计算 机 上 的 不 同 用 户 可 以 分 别 创建 自己 的 计划 任务 ， 可 
以 使 用 自己 的 用 户 名 和 密码 ， 使 创建 的 任务 在 该 用 户 帐户 的 安全 权限 内 才 运 行 。 

(6) 在 给 任务 的 执行 权限 设置 了 用 户 名 和 密码 之 后 ， 除 了 具有 正确 权限 的 用 户 以 外 ， 其 
他 任何 用 户 都 不 能 取消 或 删除 该 任务 。 单 击 “ 下 一 步 ”按钮 ， 出 现 的 对 话 框 显示 了 创建 的 任 
务 的 基本 情况 , 如 图 2-23 所 示 。 用 户 可 以 选中 “在 单 击 “ 完 成 ”时 , 打开 此 任务 的 高 级 属性 ” 
复 选 框 ， 对 新 建 的 任务 设置 一 些 高 级 选项 ， 本 书 将 在 后 续 章 节 中 详细 说 明 。 
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图 2-22 指定 输入 用 户 名 和 密码 图 2-23 创建 任务 的 完成 对 话 框 


(7) 最 后 单 击 “ 完 成 ”按钮 ， 完 成 新 任务 的 创建 。 


Windows Server 2003 中 的 用 户 密码 是 有 一 定期 限 的 ， 如 果 用 户 计划 在 不 确定 的 时 
间 内 重复 运行 任务 ， 则 必须 清楚 密码 到 期 的 时 间 ， 这 样 可 以 在 该 密码 失效 时 ， 重 新 设 
置 计划 任务 的 密码 。 但 是 系统 管理 员 的 任务 密码 是 永远 不 会 失效 的 ， 所 以 如 果 以 管理 
员 的 身份 来 创建 任务 ， 就 不 必 为 所 有 计划 任务 重新 设置 密码 了 。 


2.3.3 ”设置 任务 的 高 级 选项 


利用 “任务 计划 向 导 ” 用 户 可 以 创建 计划 任务 ， 安 排 任何 程序 或 命令 在 特定 时 间 运 行 ， 
还 可 以 设置 任务 的 高 级 属性 ， 以 使 任务 更 好 地 按照 用 户 的 意愿 运行 ， 具 体 的 操作 步骤 如 下 。 

(1) 在 “任务 计划 程序 ”窗口 中 右 击 要 设置 属性 的 任务 图 标 ， 在 弹出 的 快捷 菜单 中 选择 
“属性 ”命令 ， 如 图 2-24 所 示 。 

(2) 在 打开 的 任务 属性 对 话 框 中 选择 “任务 ”选项 卡 ， 可 以 改变 预定 的 计划 任务 ， 也 可 
以 更 改 运行 选 定 任务 的 用 户 帐户 。 用 户 也 可 以 选中 “已 启用 (已 计划 的 任务 会 在 指定 时 间 运 
行 )” 复 选 框 来 启动 已 经 停止 的 任务 或 者 停止 正在 执行 的 任务 ， 如 图 2-25 所 示 。 
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图 2-24 设置 任务 的 高 级 属性 图 2-25 “任务 ”选项 卡 


(3) 在 “日 程 安排 ”选项 卡 中 通过 选中 “显示 多 项 计划 ” 复 选 框 ， 用 户 可 以 为 任务 设置 
多 个 运行 计划 ， 单 击 “ 新 建 ”按钮 即 可 设置 新 的 任务 运行 时 刻 ， 如 图 2-26 所 示 。 

此 外 ， 用 户 还 可 以 通过 单 击 “高 级 ”按钮 打开 “高 级 计划 选项 ”对 话 框 ， 在 其 中 设置 具 
体 的 任务 起 始 时 间 、 日 期 和 结束 日 期 以 及 任务 重复 执行 的 间隔 时 间或 持续 时 间 ， 如 图 2-27 所 示 。 
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图 2-26 “日 程 安排 ”选项 卡 图 2-27 “高 级 计划 选项 ”对 话 框 


(4) 在 “设置 ”选项 卡 中 用 户 可 以 设置 任务 执行 的 持续 时 间 、 在 空闲 时 间 内 如 何 安排 任 
务 的 执行 ， 以 及 运行 任务 时 的 电源 管理 方式 等 ， 如 图 2-28 所 示 。 

(5) 在 “安全 ”选项 卡 中 ， 可 以 通过 配置 安全 权限 来 使 其 他 用 户 也 能 够 运行 该 任务 。 在 
“名 称 ”列表 框 下 可 以 单 击 “ 添 加 ”按钮 来 选择 用 户 或 组 ， 同 时 在 “权限 ”列表 框 中 为 选 定 
的 用 户 设置 与 此 任务 相关 的 操作 权限 ， 如 图 2-29 所 示 。 
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.3 bi) 多 用 内 
图 2-28 “设置 ”选项 卡 图 2-29 “安全 ”选项 卡 


(6) 最 后 ， 单 击 “确定 ”按钮 完成 设置 。 


创建 任务 时 要 保证 计算 机 的 系统 时 间 和 日 期 是 正确 的 ， 因 为 任务 计划 程序 是 根据 
系统 的 时 间 和 日 期 来 运行 的 。 


2.4 设备 管理 器 


安装 完 Windows Server 2003 以 后 , 为 了 保证 系统 以 高 效率 运行 , 还 需要 在 系统 上 正确 管 
理 硬件 设备 。 系 统 的 硬件 设备 是 提供 功能 的 操作 系统 模块 ， 而 系统 设备 是 把 硬件 与 其 相应 的 
驱动 程序 紧密 结合 的 通信 模块 。Windows Server 2003 提供 了 功能 完备 的 “设备 管理 器 ”控制 
台 来 管理 系统 的 硬件 设备 ， 使 硬件 管理 变 得 非常 方便 。 通 过 “设备 管理 器 ”， 系 统管 理 员 可 
以 查看 系统 的 设备 信息 和 设备 的 具体 属性 ， 更 新 设备 驱动 程序 等 。 


2.4.1 查看 设备 信息 


1. 查看 系统 设备 


Windows Server 2003 可 以 使 用 多 种 系统 设备 ， 如 磁盘 控制 器 、 调 制 解 调 器 、 显 示 卡 、 网 
络 适配器 和 DVD-ROM 驱动 器 等 ， 用 户 可 以 通过 “设备 管理 器 ”来 查看 这 些 设备 。 

(1) 通过 “开始 ”菜单 打开 “控制 面板 ”窗口 ， 双 击 “ 系 统 ” 图 标 打开 “系统 属性 ”对 
话 框 ， 或 者 右 击 “我 的 电脑 ”图 标 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 也 会 打开 该 对 
话 框 ， 然 后 单 击 “硬件 ”选项 卡 ， 如 图 2-30 所 示 。 

(2) 在 “硬件 ”选项 卡 的 “设备 管理 器 ”选项 区 域 中 ， 单 击 “ 设 备 管理 器 ”按钮 ， 将 打 
开 “ 设 备 管理 器 ”窗口 ， 如 图 2-31 所 示 。 
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2-30 “硬件 ”选项 卡 2-31 “设备 管理 器 ”窗口 


(3) 在 “设备 管理 器 ”窗口 中 列 出 了 系统 所 有 的 系统 硬件 设备 。 如 果 需 要 查看 系统 默认 
隐藏 的 硬件 设备 ， 可 以 选择 “查看 ” |“ 显示 隐藏 的 设备 ”命令 ， 设 备 列表 中 就 会 将 一 些 隐藏 
的 关于 存储 卷 和 驱动 程序 的 信息 显示 出 来 ， 如 图 2-32 所 示 。 
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图 2-32 显示 隐藏 设备 的 窗口 


(4) 在 默认 情况 下 ，“ 设 备 管理 器 ” 列 出 的 系统 设备 是 按照 类 型 排序 的 ， 用 户 也 可 以 改 
变 系 统 设备 的 排列 顺序 。 要 改变 系统 设备 的 排列 顺序 ， 可 以 选择 “查看 ”|“ 依 连接 排序 设备 ” 
命令 或 “查看 ”|“ 依 类 型 排序 资源 ”命令 等 即 可 。 


2. 查看 设备 属性 


通过 “设备 管理 器 ”窗口 ， 系 统管 理 员 可 以 查看 系统 设备 的 属性 。 如 果 需 要 ， 还 可 以 修 
改 系统 设备 的 属性 。 

下 面 以 网 络 适 配器 为 例 介绍 如 何 查看 设备 属性 ， 有 具体 的 操作 步骤 如 下 。 

(1) 在 “设备 管理 器 ”窗口 中 双击 “网 络 适 配器 ”选项 ， 展 开 该 选项 ， 然 后 右 击 要 查看 
的 网 卡 Abocom-Based CardBus Fast Ethemet Adapter， 从 弹出 的 快捷 菜单 中 选择 “属性 ” 命令， 
即 可 打开 “Abocom-Based CardBus Fast Ethermet Adapter 属性 ”对 话 框 ， 如 图 2-33 所 示 。 
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2-33 “Abocom-Based CardBus Fast Ethernet Adapter 属性 ”对 话 框 


(2) 在 “Abocom-Based CardBus Fast Ethemet Adapter 属性 ” 对话 框 中 , 通过 选择 “常规 ”、 
“高 级 ”、“ 了 驱动 程序 ”和 “资源 ”选项 卡 ， 可 以 查看 网 卡 的 设备 类 型 、 制 造 商 、 设 备 状态 、 
驱动 程序 以 及 资源 设置 等 方面 的 信息 。 系 统管 理 员 还 可 以 根据 系统 的 要 求 更 改 设备 的 某 些 资 
源 配 置 或 设备 状态 。 


2.4.2 配置 设备 状态 


对 于 “设备 管理 器 ” 中 列 出 的 系统 硬件 设备 ， Windows Server 2003 提供 了 多 种 硬件 服务 ， 
如 禁用 和 启用 设备 ， 更 改 设备 的 资源 设置 等 。 
1. 禁用 和 启用 设备 


禁用 和 启用 系统 设备 在 设备 管理 中 是 经 常 执行 的 操作 。 当 某 一 个 系统 设备 暂时 不 被 使 用 
时 ， 系 统管 理 员 可 以 将 其 禁用 ， 当 需要 时 ， 再 将 其 启用 。 这 样 ， 有 利于 保护 系统 设备 。 下 面 
就 以 调制 解 调 器 为 例 介绍 如 何 禁 用 和 启用 设备 。 

禁用 系统 设备 的 操作 步骤 如 下 。 

(1) 通过 “开始 ”菜单 打开 “控制 面板 ”窗口 ， 双 击 “ 系 统 ” 图 标 打开 “系统 属性 ”对 
话 框 ， 然 后 选择 “硬件 ”选项 卡 ， 单 击 “ 设 备 管理 器 ”按钮 打开 “设备 管理 器 ”窗口 。 

(2) 在 “设备 管理 器 ”窗口 的 设备 列表 中 双击 “调制 解 调 器 ”选项 将 其 展开 。 右 击 要 禁 
用 的 调制 解 调 器 Legend Easy 56K V.90 Modem， 从 弹出 的 快捷 菜单 中 选择 “禁用 ”命令 ， 如 
图 2-34 所 示 。 
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图 2-34 选择 “禁用 ”命令 


(3) 在 出 现 的 提示 框 中 单 击 “ 是 ”按钮 即 可 禁用 该 设备 。 刷 新 “设备 管理 器 ”窗口 后 可 
以 看 到 该 设备 前 的 图 标 上 出 现 了 禁用 符号 ， 如 图 2-35 所 示 。 

启用 系统 设备 的 操作 同 禁用 设备 的 操作 非常 相似 。 例 如 ， 要 重新 启用 刚才 已 经 禁用 的 调 
制 解 调 器 设备 ,可 以 在 图 2-34 所 示 的 窗口 中 右 击 要 启用 的 调制 解 调 器 ， 然 后 从 弹出 的 快捷 菜 
单 中 选择 “启用 ”命令 即 可 重新 启用 该 设备 。 

还 有 一 种 禁用 和 启用 设备 的 方法 就 是 通过 上 文 提 到 的 “设备 属性 ”对 话 框 进行 操作 。 仍 
以 调制 解 调 器 为 例 ， 打 开 其 属性 对 话 框 ， 选 择 对 话 框 中 的 “常规 ”选项 卡 ， 从 “设备 用 法 ” 
下 拉 列 表 中 选择 “使 用 这 个 设备 (启用 )” 选 项 即 可 启用 该 设备 ;选择 “不 要 使 用 这 个 设备 ( 禁 
用 )” 选 项 ， 则 可 禁用 该 设备 ， 如 图 2-36 所 示 。 
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图 2-35 禁用 设备 后 的 “设备 管理 器 ”窗口 图 2-36 ”启用 或 禁用 该 设备 


2. 更 改 设 备 的 资源 设置 


当 计算 机 的 硬件 设备 使 用 某 个 资源 时 ， 系 统 都 会 为 该 设备 使 用 的 资源 指派 一 个 唯一 的 设 
置 ， 以 保证 设备 之 间 不 会 发 生 资源 冲突 ， 导 致 无 法 运行 。 如 果 对 资源 设置 进行 的 更 改 不 正确 ， 
则 可 能 会 禁用 硬件 ， 并 使 计算 机 出 现 故障 甚至 无 法 修复 ， 所 以 系统 管理 员 在 更 改 某 些 资源 设 
置 时 一 定 要 慎重 。 当 由 于 实际 需要 更 改 某 些 资源 设置 时 ， 可 以 参照 下 述 的 操作 步 又 。 仍 以 调 
制 解 调 器 为 例 ， 打 开 调制 解 调 器 的 设备 属性 对 话 框 ， 选 择 “ 资 源 ” 选 项 卡 ， 如 图 2-37 所 示 。 


图 2-37 设备 的 “资源 ”选项 卡 


在 “资源 ”选项 卡 中 可 以 看 到 选 定 设备 的 资源 设置 情况 ， 既 可 以 选中 “使 用 自动 设置 
复 选 框 由 系统 指派 设备 需要 的 资源 ， 也 可 以 根据 实际 需要 由 系统 管理 员 手 动 设置 设备 资源 。 
通过 选择 “设备 基于 ”下 拉 列 表 中 的 “基本 配置 ”选项 可 以 设置 设备 的 资源 ， 同 时 在 “冲突 
设备 列表 ”文本 框 中 会 显示 该 设备 的 资源 配置 是 否 出 现 资源 冲突 。 如 果 出 现 更 改 后 的 资源 与 
其 他 设备 的 设置 冲突 ， 就 必须 重新 进行 设置 。 


2.4.3 ”驱动 程序 


1. Windows 的 驱动 程序 签名 
一 般 情况 下 ,硬件 设备 的 驱动 程序 是 操作 系统 中 软件 组 件 的 最 低层 ， 它 对 计算 机 的 操作 
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起 着 不 可 替代 的 作用 。 以 前 在 为 Windows 系统 安装 硬件 设备 时 ， 总 是 需要 系统 管理 员 为 硬件 
找到 合适 的 驱动 程序 ， 特 别 是 有 些 设备 还 存在 硬件 的 兼容 性 问题 。 而 Windows Server 2003 
提供 了 强大 的 硬件 支持 功能 ， 内 置 了 多 种 设备 驱动 程序 ， 能 满足 多 数 即 插 即 用 设备 的 要 求 ; 
同时 ， 针 对 硬件 兼容 性 问题 ， 为 用 户 提供 了 硬件 兼容 列表 (Hardware Compatibility List HCL)， 
完整 地 列 出 了 通过 兼容 性 测试 的 所 有 硬件 产品 ， 并 将 最 新 的 HCL 发 布 在 Microsoft 的 网 站 
(www.microsoft.com/hcl/default.asp) 上 供用 户 随时 查看 。 通 常 只 要 是 在 列表 中 的 硬件 ， 其 驱动 
程序 都 可 由 Windows Server 2003 内 部 的 数据 库 直 接 提供 ， 而 不 必 另 外 查找 。 

此 外 ，Microsoft 也 在 寻求 更 多 的 硬件 厂商 合作 开发 Windows Server 2003 的 驱动 程序 。 
Windows Server 2003 的 驱动 程序 和 特定 的 操作 系统 文件 都 通过 Microsoft 数字 签名 的 保证 ， 
以 确保 这 些 文件 符合 微软 的 测试 认可 ， 而 任何 未 经 签名 认可 的 驱动 程序 将 不 被 推荐 作为 更 改 
的 程序 ， 以 保证 硬件 设备 在 Windows 操作 系统 中 运行 的 稳定 性 和 兼容 性 。 

系统 管理 员 可 以 自行 设置 Windows 系统 对 驱动 程序 的 验证 等 级 , 以 确保 原始 的 设备 驱动 
程序 和 系统 文件 不 会 遭 到 未 经 数字 签名 许可 的 文件 的 破坏 ， 具 体操 作 步 又 如 下 。 

(1) 在 “控制 面板 ”窗口 中 双击 “系统 ”图 标 ,， 打开 “系统 属性 ”对 话 框 。 然 后 选择 “ 硬 
件 ” 选 项 卡 ， 在 “设备 管理 器 ”选项 区 域 中 单 击 “ 驱 动 程序 签名 ”按钮 ， 打 开 “ 驱 动 程序 签 
名 选项 ”对 话 框 ， 如 图 2-38 所 示 。 


2-38 “驱动 程序 签名 选项 ”对 话 框 


(2) 在 该 对 话 框 中 显示 了 对 于 没有 通过 Windows 数字 签名 的 软件 , 系统 默认 的 操作 是 “ 警 
告 -每 次 选择 操作 时 都 进行 提示 ”， 也 就 是 当 安 装 未 经 数字 签名 的 驱动 程序 时 ， 系 统 会 出 现 警 
告 消息 ， 询 问 是 否 继续 执行 安装 。 选 择 此 单 选 按钮 后 ， 所 设置 的 验证 等 级 才 会 应 用 到 这 台 机 
器 的 所 有 用 户 ; 如 果 选 择 “ 忽 略 -安装 软件 ， 不 用 征求 我 的 同意 ” 单 选 按钮 ，Windows 便 不 再 
受 数字 签名 保护 ; 如 果 选 择 “ 阻 止 -禁止 安装 未 经 签名 的 驱动 程序 软件 ” 单 选 按钮 ， 则 任何 未 
经 签名 证 明 的 驱动 程序 都 无 法 安装 到 这 台 机 器 上 。 

同时 ， 在 “系统 管理 员 选 项 ”选项 区 域 中 ， 可 以 选中 “将 这 个 操作 作为 系统 默认 值 应 用 ” 
复 选 框 ， 表 示 系 统 将 默认 对 驱动 程序 的 数字 签名 的 选择 操作 。 

2. 更 新 和 查看 设备 驱动 程序 


随 着 计算 机 硬件 设备 的 不 断 更 新 换代 ， 硬 件 设备 的 驱动 程序 也 需要 不 断 地 进行 升级 。 更 
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新 后 的 硬件 驱动 程序 往往 能 够 更 好 地 支持 硬件 设备 ， 提 高 硬件 的 整体 性 能 。 下 面 就 介绍 如 何 
更 新 和 查看 硬件 设备 的 驱动 程序 。 具 体 的 操作 步 又 如 下 。 

(1) 在 “设备 管理 器 ”窗口 中 选择 需要 更 新 驱动 程序 的 设备 ， 下 面 以 更 新 网 卡 的 驱动 程 
序 为 例 进 行 说 明 。 在 设备 列表 中 双击 “网 络 适 配器 ”展开 该 选项 。 右 击 需 要 更 新 驱动 程序 的 
设备 Abocom-Based CardBus Fast Ethernet Adapter， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 打 
开 “ 属 性 ”对 话 框 ， 然 后 选择 “驱动 程序 ”选项 卡 ， 如 图 2-39 所 示 。 

(2) 在 “驱动 程序 ”选项 卡 中 单 击 “ 更 新 驱动 程序 ”按钮 ， 将 打开 “硬件 更 新 向 导 ” 对 
话 框 ， 如 图 2-40 所 示 。 
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图 2-39 “驱动 程序 ”选项 卡 图 2-40 “硬件 更 新 向 导 ” 对 话 框 


如 果 要 更 新 的 硬件 设备 带 有 驱动 程序 的 磁盘 ， 可 以 先 将 其 插入 计算 机 ， 然 后 选择 “自动 
安装 软件 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 ， 系 统 将 自动 搜索 更 新 的 驱动 程序 并 自动 安装 软 
件 ; 但 如 果 驱 动 程序 存在 系统 中 ， 则 可 以 选择 “从 列表 或 指定 位 置 安装 ” 单 选 按钮 ， 然 后 单 
击 “ 下 一 步 ”按钮 ， 系 统 将 提示 相关 的 搜索 和 安装 选项 ， 如 图 2-41 所 示 。 

(3) 在 “选择 搜索 和 安装 选项 ”对 话 框 中 ， 可 以 指定 搜索 程序 的 位 置 ， 系 统 在 找到 更 新 
的 程序 之 后 就 会 自动 安装 ， 之 后 即 可 使 用 该 设备 。 用 户 也 可 自己 选择 要 安装 的 驱动 程序 ， 单 
击 “ 下 一 步 ” 按 钮 打开 “选择 网 卡 ” 对 话 框 ， 如 图 2-42 所 示 。 
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图 2-41 “选择 搜索 和 安装 选项 ”对 话 框 图 2-42 “选择 网 卡 ” 对 话 框 


在 该 对 话 框 中 系统 会 显示 该 设备 类 别 的 所 有 硬件 , 默认 情况 下 系统 选中 “显示 兼容 硬件 ” 
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复 选 框 , 即 只 显示 与 用 户 硬 件 兼容 的 驱动 程序 。 如果 希 望 从 磁盘 安装 驱动 程序 , 可 以 单 击 “ 从 
磁盘 安装 ”按钮 进行 安装 。 在 该 对 话 框 中 ， 可 以 选 定 与 硬件 相符 的 网 卡 ， 然 后 单 击 “ 下 一 步 ” 
按钮 ,系统 即 可 使 用 选 定 的 设备 驱动 程序 对 设备 进行 软件 安装 。 更 新 安装 完毕 后 , 即 显示 “ 完 
成 硬件 更 新 向 导 ” 对 话 框 ， 如 图 2-43 所 示 。 

(4) 单 击 “ 完 成 ”按钮 即 可 结束 更 新 硬件 驱动 程序 的 操作 。 

(5) 如 果 要 查看 设备 的 驱动 程序 信息 ， 可 以 在 所 选 设备 的 “属性 ”对 话 框 中 选择 “驱动 
程序 ”选项 卡 ， 然 后 单 击 “ 驱 动 程序 详细 信息 ”按钮 ， 打 开 “ 驱 动 程序 文件 详细 信息 ”对 话 
框 ， 如 图 2-44 所 示 。 
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图 2-43 “完成 硬件 更 新 向 导 ” 对 话 框 图 2-44 “驱动 程序 文件 详细 信息 ”对 话 框 


在 “驱动 程序 文件 详细 信息 ”对 话 框 中 ， 可 以 看 到 所 选 设备 的 驱动 程序 文件 的 文件 名 和 
其 存放 位 置 ， 以 及 该 驱动 程序 的 文件 提供 商 、 版 本 以 及 是 否 经 过 数字 签名 等 。 


2.5 ”添加 和 狠 载 硬件 设备 


在 Windows Server 2003 中 ， 如 果 要 添加 新 的 硬件 设备 ， 可 以 通过 “添加 硬件 向 导 ” 来 
完成 。 这 样 不 仅 可 以 方便 、 快 速 地 安装 硬件 设备 ， 同 时 还 可 以 根据 要 安装 的 硬件 设备 自动 选 
择 较 合适 的 驱动 程序 , 更 好 地 发 挥 硬件 设备 的 功能 。 如 果 要 扼 载 某 个 硬件 设备 就 比较 简单 了 。 
下 面 就 介绍 具体 的 操作 步 又 。 


2.5.1 添加 硬件 设备 


如 果 需 要 在 计算 机 上 添加 新 的 硬件 设备 或 者 对 出 现 问题 的 硬件 设备 进行 重新 设置 或 调 
整 ， 可 以 通过 “添加 硬件 向 导 ” 来 完成 ， 具 体操 作 步 又 如 下 。 

(1) 在 “控制 面板 ”窗口 中 双击 “系统 ”图 标 , 打开 “系统 属性 ”对 话 框 ,然后 选择 “ 硬 
件 ” 选 项 卡 ， 从 中 单 击 “ 添 加 硬件 向 导 ” 按 钮 ， 或 者 在 “控制 面板 ”窗口 中 直接 选择 “添加 
硬件 ”命令 ， 打 开 “ 添 加 硬件 向 时 ”对 话 框 ， 如 图 2-45 所 示 。 
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(2) 在 “添加 硬件 向 导 ” 对 话 框 中 ， 单 击 “ 下 一 步 ”按钮 ， 系 统 将 开始 搜索 新 的 硬件 设 
备 。 如 果 该 设备 是 即 插 即 用 的 设备 ， 则 系统 会 在 搜索 到 该 设备 后 自动 为 其 配置 好 驱动 程序 ， 
用 户 可 以 稍 后 直接 使 用 该 设备 。 如 果 该 设备 是 非 即 插 即 用 的 设备 ， 则 需要 手动 为 其 配置 驱动 
软件 。 当 系统 无 法 直接 搜索 到 该 设备 时 ， 就 需要 用 户 手动 添加 设备 ， 这 时 系统 会 询问 是 否 已 
经 把 要 安装 的 设备 连接 好 ， 如 图 2-46 所 示 。 


葡 迎 使 用 添加 硬件 问 导 
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村， 请 和 击 “ 下 一步” ， 


图 2-45 “添加 硬件 向 导 ” 对 话 框 2-46 ”硬件 是 否 已 连接 的 提示 对 话 框 


(3) 在 该 对 话 框 中 ， 可 以 根据 实际 情况 进行 选择 ， 当 确认 已 经 把 设备 连接 好 而 系统 无 法 
识别 该 设备 时 ， 选 择 “ 是 ， 硬 件 已 连接 好 ” 单 选 按钮 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 在 “添加 
硬件 向 导 ” 中 将 出 现 “ 已 安装 的 硬件 ”列表 框 ， 如 图 2-47 所 示 。 

(4) 在 “已 安装 的 硬件 ”列表 框 中 列 出 了 当前 计算 机 中 已 经 安装 的 设备 ， 如 果 需 要 对 某 
个 出 现 故障 的 设备 进行 重新 安装 或 调整 时 ， 可 以 在 该 列表 框 中 选中 该 设备 ， 然 后 单 击 “下 一 
步 ”按钮 ， 按 “硬件 向 导 ” 的 引导 进行 检查 或 设置 。 

如 果 要 添加 的 硬件 设备 没有 在 列表 框 中 显示 出 来 ， 可 以 单 击 该 列表 框 中 的 “添加 新 的 硬 
件 设备 ”选项 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 此 时 的 “添加 硬件 向 导 ” 如 图 2-48 所 示 。 
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图 2-47 “已 安装 的 硬件 ”列表 框 图 2-48 ”继续 搜索 硬件 


在 图 2-48 中 可 以 选择 让 系统 继续 “搜索 并 自动 安装 硬件 ” 单 选 按钮 ,但 如 果 系统 无 法 识 
别 出 待 安装 的 设备 ， 就 需要 选择 “安装 我 手动 从 列表 选择 的 硬件 ” 单 选 按钮 ， 然 后 单 击 “ 下 
一 步 ”按钮 ， 打 开 向 导 的 “从 以 下 列表 ， 选 择 要 安装 的 硬件 类 型 ”对 话 框 ， 如 图 2-49 所 示 。 


[ a] 


下 二 
图 2-49 选择 硬件 类 型 
(5) 在 “常见 硬件 类 型 ”列表 框 中 可 以 选择 需要 安装 的 设备 类 型 选项 ， 然 后 单 击 “ 下 一 
步 ” 按钮， 打开“ 选择 端口 ”对 话 框 ， 选 择 使 用 的 端口 后 再 单 击 “ 下 一 步 ”按钮 ， 最 后 就 可 
以 在 安装 完 驱 动 程序 后 使 用 该 硬件 设备 了 。 
/9 梓 
各 
一 般 情况 下 ， 在 添加 完 硬件 设备 后 应 该 重新 启动 计算 机 ， 以 使 新 安装 的 设备 能 够 
正常 使 用 。 


2.5.2 ” 郝 载 硬件 设备 


Windows Server 2003 提供 了 两 种 终止 硬件 服务 的 方式 : 禁用 和 钊 载 。 对 于 2.4.2 节 中 提 
到 的 硬件 “禁用 ”服务 ， 系 统 只 是 暂时 停止 提供 该 硬件 的 服务 ， 设 备 本 身 并 未 从 系统 中 取消 ， 
可 以 随时 利用 “启用 ”命令 来 恢复 其 正常 服务 。 但 是 “ 撮 载 ”命令 表示 从 系统 中 取消 该 设备 ， 
包括 它 的 驱动 程序 和 系统 资源 等 相关 设置 也 会 一 起 被 删除 , 如 果 要 再 次 使 用 该 设备 , 就 只 
有 重新 安装 了 。 

如 果 要 从 计算 机 中 仓 载 设备 ， 其 操作 的 具体 方法 有 多 种 ， 可 以 在 如 图 2-39 所 示 的 “驱动 
程序 ”选项 卡 中 直接 单 击 “ 镍 载 ”按钮 从 系统 中 印 载 该 设备 。 当 然 ， 最 简单 的 方法 还 是 在 “ 设 
备 管理 器 ”窗口 的 设备 列表 中 右 击 要 种 载 的 设备 ， 从 弹出 的 快捷 菜单 中 选择 “ 印 载 ”命令 ， 
如 图 2-50 所 示 。 


WS 


图 2-50 执行 设备 的 名 载 操作 
然后 在 弹出 的 “确认 设备 删除 ”对 话 框 中 单 击 “ 确 定 ”按钮 ， 即 可 完成 设备 的 卸载 操作 。 


打印 机 配置 与 管理 


共享 打印 机 是 网 络 操作 系统 提供 的 基本 服务 之 一 ， 网 络 中 的 用 户 
可 以 使 用 不 同位 置 的 共享 打印 机 。 如 果 有 专门 的 打印 服务 器 ， 那 么 公 
司 中 的 所 有 打印 任务 都 可 以 集中 地 进行 打印 和 管理 ， 不 仅 可 以 节约 打 
印 机 的 费用 ， 还 可 以 有 效 地 控制 打印 成 本 。Windows Server 2003 正 
是 针对 在 技术 发 展 过 程 中 不 断 提出 的 要 求 ， 集 成 了 适应 用 户 需 求 的 功 
能 。 在 Windows Server 2003 中 ， 不 仅 保 留 了 以 前 Windows 版 本 打 
印 服务 的 优点 ， 而 且 在 原 有 打印 服务 的 基础 上 ， 添 加 了 新 的 功能 独特 
的 打印 协议 来 增强 打印 服务 的 功能 , 提供 更 加 方便 和 实用 的 打印 服务 。 
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3.1 Windows 网 络 打印 概述 


掌握 Windows 环境 中 的 一 些 打印 的 基本 概念 和 术语 以 及 打印 机 的 相关 机 制 ,将 有 利于 管 
理 员 在 自己 的 网 络 中 创建 打印 服务 和 解决 打印 中 发 生 的 各 种 故障 。 为 此 ， 本 节 将 讨论 打印 机 
安装 和 打印 操作 的 基本 概念 、 打 印 机 种 类 以 及 Windows Server 2003 打印 工作 流程 等 内 容 。 


3.1.1 打印 的 概念 


在 理解 Windows Server 2003 的 网 络 打印 服务 之 前 ， 先 介绍 一 些 相关 的 概念 。 

e 假 脱 机 管理 器 指 系统 打印 管理 进程 ， 它 接受 打印 作业 并 控制 从 打印 机 队列 到 打印 

设备 的 打印 过 程 。 

e 打印 作业 : 在 打印 过 程 中 ， 任 何 一 个 提交 到 假 脱 机 管理 器 的 打印 会 话 都 被 视 为 一 个 

打印 作业 ， 假 脱 机 打印 管理 器 可 以 根据 作业 类 型 来 创建 打印 流 。 
e 打印 队列 : 也 称 为 假 脱 机 文件 ， 就 是 指 Windows Server 2003 为 正在 打印 的 文档 和 所 
有 已 经 传输 到 打印 机 上 等 待 打 印 的 文档 建立 的 列表 。Windows Server 2003 将 不 同 应 
用 程序 发 送出 来 的 要 打印 的 文档 副本 集中 起 来 并 将 它们 排 成 队列 ， 然 后 按照 顺序 打 
印 它们 。 打 印 队 列 由 假 脱 机 管理 器 所 控制 。 
e 假 脱 机 处 理 ， 它 是 指 通 过 网 络 向 打印 设备 发 送 打 印 作业 的 进程 。 
e 打印 机 池 : 由 一 个 逻辑 打印 机 对 象 所 代表 的 一 组 打印 设备 ， 发 往 该 打印 机 的 打印 作 
业 将 由 第 一 台 可 用 的 打印 设备 来 负责 。 

e 打印 处 理 器 : 它 可 以 用 来 修饰 不 同 数据 类 型 的 打印 作业 。 系 统 存 在 多 个 处 理 不 同类 
型 的 打印 作业 的 打印 处 理 器 。 当 打印 处 理 器 完成 了 对 作业 的 修饰 之 后 ， 就 把 控制 权 
交 给 打印 提供 者 。 

e 打印 监控 器 : 它 负 责 把 打印 作业 提交 给 不 同类 型 的 打印 设备 。 例 如 ， 某 个 打印 监控 
器 把 作业 发 往 诸如 并 行 串 行 端口 设备 ， 而 另 一 打印 监控 器 将 把 作业 发 往 另 一 种 网 
络 接口 打印 机 。 

Windows Server 2003 提供 了 大 量 的 网 络 打印 功能 ， 包 括 浏览 可 用 的 打印 机 ， 直 接连 接 到 
共享 的 Windows Server 2003 打印 机 (不 需要 本 地 的 打印 机 驱动 程序 ) 及 远程 管理 打印 任务 的 能 
力 。Windows Server 2003 网 络 打 印 服务 还 可 以 配置 成 能 共享 的 网 络 打印 机 ， 并 形成 打印 机 池 
供 多 个 物理 打印 机 用 一 个 打印 机 对 象 来 表示 ; 也 可 以 针对 同一 台 打 印 设备 建立 多 个 打印 对 象 ， 
且 每 个 对 象 具有 不 同 的 配置 ; 也 可 以 建立 打印 机 之 间 的 优先 级 差别 ， 或 者 调度 让 打印 机 对 象 
保留 打印 作业 ， 在 以 后 打印 它们 。 


3.1.2 Windows Server 2003 网 络 打印 过 程 


安装 Windows Server 2003 的 计算 机 被 用 作 网 络 打印 服务 器 之 后 , 客户 机 就 可 以 在 打印 机 
服务 器 上 打印 文档 了 。 下 面 就 介绍 一 下 Windows Server 2003 网 络 打印 的 工作 过 程 。 

Windows Server 2003 客户 机 上 的 用 户 先 选 择 一 个 打印 文档 。 如 果 该 文档 是 由 Windows 
应 用 程序 提交 的 , 应 用 程序 将 调用 图 形 设备 界面 (GDD, 它 将 调用 与 目标 打印 机 相关 联 的 打印 
机 驱动 程序 。 使 用 应 用 程序 的 文档 信息 ，GDI 和 驱动 程序 将 交换 数据 以 便 以 打印 机 语言 汇报 
打印 作业 ， 而 后 将 其 传递 给 客户 端的 假 脱 机 。 接 着 ， 客 户 机 将 打印 作业 传递 给 打印 服务 器 。 
对 于 Windows Server 2003 客户 机 而 言 , 客户 端 假 脱 机 将 对 服务 器 端 假 脱 机 进行 远程 过 程 调用 
(RPC)， 服 务 器 端 假 脱 机 使 用 路 由 器 轮 循 远程 打印 的 客户 端 。 远 程 打印 客户 端 将 对 服务 器 假 
脱 机 初始 化 男 一 个 RPC。 

在 打印 服务 器 中 , Windows Server 2003 客户 机 的 打印 作业 都 属于 “增强 图 元 文件 (EMF)” 
数据 类 型 。 大 多 数 非 Windows 应 用 程序 都 使 用 “准备 打印 (RAW)” 数 据 类 型 。 服 务 器 中 的 路 
由 器 将 打印 作业 传递 给 服务 器 中 的 本 地 打印 厂商 ， 它 将 使 打印 作业 假 脱 机 。 本 地 打印 厂商 将 
轮 循 打印 处 理 器 ， 打 印 处 理 器 识别 作业 的 数据 类 型 并 接收 打印 作业 。 打 印 处 理 器 根据 其 数据 
类 型 改变 打印 作业 以 确保 作业 打印 正确 。 如 果 在 客户 机 上 定义 了 目标 打印 机 ， 打 印 服务 器 服 
务 程序 将 决定 服务 器 假 脱 机 是 否 应 改变 打印 作业 或 指定 一 个 不 同 的 数据 类 型 。 而 后 ， 打 印 作 
业 将 传递 给 本 地 打印 厂商 以 便 将 其 写 入 磁极。 然后 将 把 打印 作业 控制 传递 给 分 隔 符 页 处 理 器 ， 
如 果 进 行 指定 ， 则 把 一 个 分 隔 符 页 添加 到 作业 的 前 端 。 最 后 ， 作 业 与 打印 监视 器 脱 机 ， 打印 
作业 将 直接 到 达 端 口 监视 器 ， 并 将 其 发 送 给 目标 打印 机 (或 者 发 送 给 另 一 个 远程 打印 服务 器 )。 
打印 机 接收 打印 作业 ， 将 每 页 转换 成 位 图 格式 并 进行 打印 。 


3.2 ”安装 打印 机 


要 在 Windows Server 2003 网 络 中 使 用 网 络 打 印 机 ， 管 理 员 必 须 先 安装 本 地 或 共享 打印 
机 ， 否 则 客户 计算 机 将 无 法 进行 网 络 打 印 。 无 论 客户 计算 机 使 用 哪 一 种 Windows 操作 系统 ， 
通过 打印 管理 器 都 可 以 共享 和 使 用 网 络 打印 机 。 


3.2.1 安装 本 地 打印 机 


Windows Server 2003 系统 为 用 户 提供 了 一 个 添加 打印 机 向 导 , 用 户 使 用 该 向 导 可 以 很 方 
便 地 将 打印 机 安装 到 自己 的 计算 机 上 并 设置 为 共享 。 打 印 机 安装 好 之 后 ， 在 “打印 机 ”窗口 
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中 会 出 现 新 安装 的 打印 机 图 标 ， 网 络 用 户 就 可 以 使 用 该 打印 机 打印 自己 的 文档 。 

下 面 介绍 一 下 安装 本 地 打印 机 的 具体 操作 步骤 。 

(1) 打开 “开始 ”菜单 ， 通 过 “打印 机 和 传真 ”窗口 或 者 选择 “控制 面板 ”|“ 打 印 机 和 
传真 ” |“ 添加 打印 机 ”命令 ， 打 开 “ 添 加 打印 机 向 导 ” 对 话 框 ， 如 图 3-1 所 示 。 

(2) 单 击 “ 下 一 步 ”按钮 ， 打 开 “ 本 地 或 网 络 打印 机 ”对 话 框 ， 在 该 对 话 框 中 选择 安装 
本 地 打印 机 ， 如 果 要 安装 向 导 自 动 检测 打印 机 ， 可 以 选中 “自动 检测 并 安装 我 的 即 插 即 用 打 
OE 如 图 3-2 所 示 。 
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3-1 “添加 打印 机 向 导 ” 对 话 框 图 3-2 选择 安装 本 地 打印 机 
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(3) 单 击 “ 下 一 步 ”按钮 ， 系 统 开始 检测 连接 到 本 地 的 打印 机 ， 如 图 3-3 所 示 。 
(4) 单 击 “ 下 一 步 ”按钮 ， 在 “选择 打印 机 端口 ”对 话 框 中 为 打印 机 选择 或 者 创建 端口 ， 


如 图 3-4 所 示 。 
ETTH 
新 打印 机 检测 co 进 天 打印 机 该 口 Eo 
全 字 入 DA YG HR, Y 
Mins FERRE Ee Ee | 
ER. 


号 


| 
3-3 ”检测 新 打印 机 3-4 选择 打印 机 端口 


(5) 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 安 装 打印 机 软件 ”对 话 框 ， 在 该 对 话 框 中 的 打印 机 列 
表 中 ， 用 户 可 以 选择 打印 机 的 厂商 和 型 号 。 打 印 机 列表 是 从 %SYSTEM9%AINF 目录 下 的 
NTPRINT.INE 文件 中 读 出 来 的 ， 包 括 所 有 Windows Server 2003 所 支持 的 打印 机 ， 如 图 3-5 

(6) 如 果 系 统 中 没有 该 打印 机 的 驱动 程序 ， 可 以 单 击 “ 从 磁盘 安装 ”按钮 ， 打 开 “ 从 磁 
得 安装 ”对 话 框 ， 选 定 驱动 程序 文件 的 来 源 ， 然 后 单 击 “ 确 定 ” 按 钮 开始 从 磁盘 安装 ， 如 图 
3-6 所 示 。 
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图 3-5 选择 打印 机 图 3-6 “从 磁盘 安装 ”对 话 框 


(7) 单 击 “ 下 一 步 ”按钮 ， 将 打开 “命名 打印 机 ”对 话 框 ， 如 图 3-7 所 示 。 在 该 对 话 框 
中 输入 打印 机 的 名 称 ， 这 可 以 使 其 他 用 户 在 使 用 打印 机 时 能 够 很 快 识别 出 该 打印 机 。 用 户 还 
可 以 选择 是 否 把 该 打印 机 设置 为 默认 打印 机 。 

(8) 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 打 印 机 共享 ”对 话 框 ， 用 户 可 以 选择 是 否 与 其 他 网 络 
用 户 共享 该 打印 机 ， 如 图 3-8 所 示 。 
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图 3-7 命名 打印 机 3-8 “打印 机 共享 ”对 话 框 


(9) 单 击 “ 下 一 步 ”按钮 打开 “打印 测试 页 ”对 话 框 。 用 户 要 确认 打印 机 是 否 安装 正 
确 ， 可 以 选择 打印 一 张 测试 页 ， 如 图 3-9 所 示 。 

(10) 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 正 在 完成 添加 打印 机 向 导 ” 对 话 框 ， 单 击 “完成 ” 按 
钮 即 可 完成 本 地 打印 机 的 添加 ， 如 图 3-10 所 示 。 
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3.2.2 ”安装 网 络 打印 机 


如 果 网 络 中 存在 共享 的 打印 机 ， 用 户 也 可 以 直接 使 用 该 打印 机 进行 打印 。 在 使 用 该 打印 
机 之 前 ， 用 户 必须 先 连接 到 网 络 ， 并 且 在 本 机 中 安装 有 网 络 打印 机 。 在 Windows Server 2003 
中 ， 安 装 网 络 打印 机 的 步骤 很 简单 ， 不 需要 在 本 地 添加 打印 机 的 驱动 程序 就 可 以 使 用 网 络 打 
印 机 。 

安装 网 络 打印 机 的 步骤 可 以 参考 前 面 安装 本 地 打印 机 的 步骤 ， 下 面 简单 介绍 一 下 。 

(1) 在 “添加 打印 机 ”向 导 的 “本 地 或 网 络 打印 机 ”对 话 框 中 ， 选 择 安装 网 络 打印 机 ， 
如 图 3-11 所 示 。 
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图 3-11 选择 安装 网 络 打印 机 


(2) 单 击 “ 下 一 步 ” 按 钮 打开 “指定 打印 机 ”对 话 框 ， 在 该 对 话 框 中 可 以 设置 查找 打 
印 机 的 方式 。 如 果 希 望 在 目录 中 查找 打印 机 ， 则 可 以 选择 “在 目录 中 查找 一 个 打印 机 ” 单 选 
按钮 ， 如 果 使 用 的 是 局 域 网 ， 则 可 以 选择 “连接 到 这 台 打 印 机 (或 者 浏览 打印 机 ， 选 择 这 个 选 
项 并 单 击 “ 下 一 步 ，)” 单 选 按钮 ， 并 在 “名 称 ” 文 本 框 中 输入 打印 机 的 名 称 ， 如 果 用 户 选 中 
此 项 操作 ， 并 单 击 “ 下 一 步 ”按钮 ， 系 统 将 会 打开 “浏览 打印 机 ”对 话 框 ， 如 果 用 户 使 用 的 
是 办 公 网 或 mtemet， 则 可 以 选择 “连接 到 Intemet、 家 庭 或 办 公 网 络 上 的 打印 机 ” 单 选 按钮 ， 
并 在 URL 文本 框 中 输入 计算 机 的 地 址 ， 如 图 3-12 所 示 。 

(3) 指定 了 查找 打印 机 的 方式 后 ， 单 击 “ 下 一 步 ” 按 钮 将 打开 “浏览 打印 机 ”对 话 框 ， 


从 “共享 打印 机 ”列表 框 中 选择 打印 机 ， 如 图 3-13 所 示 。 
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(4) 单 击 “ 下 一 步 ” 按 钮 打开 “默认 打印 机 ”对 话 框 ， 可 以 指定 是 否 把 该 打印 机 设置 为 
默认 打印 机 ， 如 图 3-14 所 示 。 

(5) 单 击 “下 一 步 ”按钮 ， 打 开 “ 正 在 完成 添加 打印 机 向 导 ” 对 话 框 ， 单 击 “ 完 成 ” 按 
钮 即 可 完成 网 络 打印 机 的 添加 ， 如 图 3-15 所 示 。 
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图 3-14 “默认 打印 机 ”对 话 杠 3-15 “正在 完成 添加 打印 机 向 导 ” 对 话 框 


3.3 打印 管理 


作为 一 个 系统 管理 员 ， 不 仅 要 对 网 络 中 的 打印 机 非常 清楚 ， 而 且 还 要 掌握 通过 不 同 的 方 
法 来 设置 和 管理 自己 的 网 络 中 的 众多 打印 机 , 包括 集中 安装 打印 机 驱动 程序 、 设 置 默认 选项 、 
处 理 网 络 打 印信 息 和 管理 网 络 打 印 作业 等 ,这 些 不 仅 有 利于 减少 管理 员 自 己 的 网 络 维护 工作 ， 
而 且 极 大 地 方便 了 网 络 用 户 对 网 络 打印 机 的 使 用 ， 避 免 出 现 过 多 的 打印 错误 。 


3.3.1 设置 打印 机 属性 


在 打印 文件 之 前 一 般 要 对 打印 机 的 属性 进行 设置 ， 只 有 设置 合适 的 打印 机 属性 之 后 才能 
获得 相应 的 打印 效果 。 如 果 应 用 程序 中 有 打印 命令 ， 一 般 可 以 在 “打印 ”对 话 框 中 单 击 “ 属 
性 ”按钮 来 设置 打印 机 的 属性 。 不 过 在 应 用 程序 中 设置 的 打印 机 属性 只 对 当前 要 打印 的 文档 
有 效 , 如 果 要 使 打印 机 属性 对 任何 文件 都 有 效 , 则 可 以 在 打印 机 文件 夹 中 设置 打印 机 的 属性 。 

下 面 介绍 一 下 设置 打印 机 属性 的 具体 操作 步骤 。 

(1) 在 “打印 机 ”文件 夹 中 ， 右 击 要 设置 属性 的 打印 机 图 标 ， 从 弹出 的 快捷 菜单 中 选择 
“属性 ”命令 ， 打 开打 印 机 属性 对 话 框 并 选择 “常规 ”选项 卡 ， 如 图 3-16 所 示 。 

(2) 在 “常规 ”选项 卡 的 上 部 包含 “位 置 ” 文 本 框 和 “注释 ”文本 框 。“ 位 置 ”文本 杠 
主要 用 于 显示 打印 机 的 位 置 。 在 安装 打印 机 时 如 果 输 入 了 打印 机 的 位 置 ， 将 在 “位 置 ”文本 
框 中 显示 出 来 。 用 户 也 可 以 在 “位 置 ” 文 本 框 中 更 改 打印 机 的 位 置 。 在 “注释 ”文本 框 中 用 
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户 可 以 输入 或 更 改 打 印 机 的 注释 。 

(3) 在 “常规 ”选项 卡 的 “功能 ”选项 区 域 中 显示 了 打印 机 的 功能 ， 如 打印 纸张 的 大 小 、 
速度 、 分 辨 率 等 。 如 果 要 设置 这 些 选 项 ， 可 以 单 击 “ 打 印 首 选项 ”按钮 ， 打 开 “ 打 印 首 选项 ” 
对 话 框 ， 如 图 3-17 所 示 。 
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图 3-16 设置 打印 机 属性 图 3-17 “打印 首选 项 ”对 话 框 


(4) 在 “打印 首选 项 ”对 话 框 的 “页 设置 ”选项 卡 中 可 以 设置 纸张 的 方向 、 打 印 文件 的 
顺序 及 打印 份 数 等 属性 。“ 方 向 ”选项 用 于 设置 纸张 的 方向 是 “纵向 ”还 是 “横向 ”。 默 认 
时 ， 打 印 机 在 一 张 纸 中 只 能 打印 一 页 文档 ， 如 果 和 希望 在 一 张 纸 中 打印 多 页 内 容 ， 可 以 在 “ 份 
数 ” 文 本 框 中 设置 相应 的 页 数 ， 如 图 3-18 所 示 。 

(5) 在 “打印 首选 项 ”对 话 框 的 “主要 ”选项 卡 中 可 以 设置 打印 机 的 用 纸 类 型 、 纸 张 来 
源 和 打印 质量 。 在 “介质 类 型 ”下 拉 列 表 中 可 以 选择 是 否 使 用 普通 纸 ， 在 “纸张 来 源 ” 下 拉 
列表 中 可 以 选择 启用 自动 进 纸 器 或 手工 进 纸 ， 在 “打印 质量 ”选项 区 域 中 可 以 根据 需要 选择 
不 同 的 质量 选项 ， 如 图 3-19 所 示 。 
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图 3-18 “页 设置 ”选项 卡 图 3-19 “主要 ”选项 卡 


(6) 在 “打印 机 属性 ”对 话 框 的 “共享 ”选项 卡 中 可 以 设置 是 否 共享 打印 机 ， 以 及 其 他 
版 本 的 Windows 共享 该 打印 机 时 的 驱动 程序 。 是 否 共 享 打 印 机 的 默认 值 取决 于 安装 打印 机 时 


进行 的 设置 。 如 果 不 希望 共享 打印 机 ， 可 以 选择 “不 共享 这 台 打印 机 ” 单 选 按钮 ， 如 果 希 望 
共享 打印 机 ， 可 以 选择 “共享 这 台 打印 机 ” 单 选 按钮 ， 并 在 其 下 的 “共享 名 ”文本 框 中 输入 
一 个 共享 名 称 ， 如 图 3-20 所 示 。 

(7) 在 “驱动 程序 ”选项 区 域 中 ， 单 击 “ 其 他 驱动 程序 ”按钮 将 打开 “其 他 驱动 程序 ” 
对 话 框 ， 可 以 添加 针对 其 他 Windows 版 本 的 驱动 程序 ， 如 图 3-21 所 示 。 
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图 3-20 “共享 ”选项 卡 图 3-21 “其 他 驱动 程序 ”对 话 框 


(8) 在 “打印 机 属性 ”对 话 框 的 “端口 ”选项 卡 中 可 以 设置 打印 机 连接 和 使 用 的 端口 ， 
利用 它 可 以 快速 地 更 改 连接 打印 机 的 端口 。 在 “打印 到 下 列 端 口 ” 列 表 框 中 ， 列 出 了 所 有 的 
可 用 端口 。 如 果 要 更 改 连 接 打 印 机 的 端口 ， 只 需 清除 原 有 的 复 选 框 ， 然 后 选中 打印 机 现在 连 
接 的 端口 的 复 选 框 即 可 。 用 户 也 可 以 同时 选中 多 个 端口 ， 这 样 在 打印 时 系统 会 自动 检测 这 些 
端口 ， 并 使 用 连接 有 打印 机 的 端口 进行 打印 。 如 果 计算 机 连接 有 多 个 打印 机 ， 系 统 会 使 用 第 
一 个 检测 到 的 可 用 端口 进行 打印 ， 如 图 3-22 所 示 。 

(9) 如 果 要 使 用 其 他 的 端口 打印 ， 可 以 单 击 “ 添 加 端口 ”按钮 打开 “打印 机 端口 ”对 话 
框 进行 选择 。 在 “可 用 的 端口 类 型 ”列表 框 中 列 出 了 不 同 的 打印 服务 ， 这 些 端 口 都 是 虚拟 的 
端口 ， 因 为 它们 都 是 通过 网 线 传输 的 。 如 果 要 使 用 这 些 类 型 的 打印 服务 ， 可 以 选中 “可 用 的 
端口 类 型 ”列表 框 中 相应 的 服务 ， 然 后 单 击 “ 新 端口 ”按钮 查找 并 添加 相应 类 型 的 服务 ， 如 
图 3-23 所 示 。 
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(10) 如 果 用 户 要 删除 端口 ， 可 以 在 “打印 到 下 列 端口 ”列表 框 中 选中 要 删除 的 端口 ， 然 
后 单 击 “ 删 除 端口 ”按钮 即 可 。 另 外 ， 单 击 “配置 端口 ”按钮 ， 可 以 设置 打印 机 传输 重 试 的 
超时 值 ， 如 果 要 使 用 双向 打印 ， 则 可 以 选中 “启用 双向 支持 ” 复 选 框 ， 如 果 要 启用 后 台 打 印 
服务 ， 则 可 以 选中 “启用 打印 机 池 ” 复 选 框 。 

(11) 在 “打印 机 属性 ”对 话 框 的 “高 级 ”选项 卡 中 可 以 设置 打印 机 的 打印 方式 、 处 理 打 
印 文档 的 方式 以 及 处 理 不 同方 式 打印 作业 的 方法 ， 如 图 3-24 所 示 。 
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(12) 在 “高 级 ”选项 卡 中 ， 如 果 选 择 “ 使 用 后 台 打 印 ， 以 便 程 序 更 快 地 结束 打印 ” 单 选 
按钮 ，Windows Server 2003 将 启用 后 台 打 印 的 支持 。 应 用 程序 进行 打印 时 ， 只 是 将 要 打印 的 
信息 送 到 打印 管理 程序 ， 并 不 直接 参与 管理 打印 机 。 所 有 应 用 程序 的 打印 文件 都 将 被 打印 机 
接管 ， 即 使 在 没有 打印 完 文件 之 前 关闭 应 用 程序 ， 也 丝毫 不 会 影响 文档 的 打印 。 

(13) 如 果 使 用 后 台 打印 ， 又 有 两 种 后 台 打 印 方式 可 供 选择 ， 这 里 选中 “在 后 台 处 理 完 最 
后 一 页 时 开始 打印 ” 单 选 按钮 。 由 于 Windows Server 2003 是 一 个 多 任务 操作 系统 ， 应 用 程序 
处 理 文件 和 打印 机 打印 文件 可 以 同时 完成 ， 因 此 默认 时 系统 将 选中 “立即 开始 打印 ” 单 选 按 
钮 ， 这 样 可 以 充分 地 利用 计算 机 的 各 种 资源 。 如 果 选 中 “直接 打印 到 打印 机 ” 单 选 按钮 ， 应 
用 程序 会 直接 把 文件 输送 到 打印 机 。 在 打印 完 所 有 文件 之 前 ， 不 能 关闭 应 用 程序 或 者 编辑 应 
用 程序 的 文件 。 

(14) 对 于 网 络 打印 机 来 说 ， 分 隔 页 是 十 分 重要 的 。 分 隔 页 就 是 由 系统 在 不 同 的 打印 作业 
之 间 插 入 的 打印 页 ， 有 了 分 隔 页 ， 不 同 的 打印 作业 就 被 分 开 了 。 单 击 “ 分 隔 页 ”按钮 将 打开 
“分 隔 页 ”对 话 框 ， 分 隔 页 文件 的 扩展 名 为 sep， 可 以 在 “分 隔 页 ”文本 框 中 输入 分 隔 页 文 
件 的 位 置 ， 也 可 以 单 击 “ 浏 览 ”按钮 ， 在 打开 的 “浏览 ”对 话 框 中 找到 并 选择 一 个 分 隔 页 文 
件 ， 如 图 3-25 所 示 。 

(15) 在 “打印 机 属性 ”对话 框 的 “安全 ”选项 卡 中 可 以 设置 网 络 用 户 使 用 打印 机 的 权限 。 
网 络 用 户 共 有 3 种 使 用 打印 机 的 权限 : 拥有 打印 权限 的 用 户 只 能 打印 文档 ， 拥 有 管理 打印 机 


权限 的 用 户 可 以 管理 打印 机 ， 拥 有 管理 文档 权限 的 用 户 可 以 管理 打印 机 中 正在 打印 的 文档 。 
用 户 还 可 以 单 击 “ 添 加 ”按钮 添加 用 户 ， 并 设置 用 户 拥有 的 打印 权限 ， 如 图 3-26 所 示 。 


图 3-25 “分 隔 页 ”对 话 框 图 3-26 “安全 ”选项 卡 


3.3.2 ”打印 作业 管理 


Windows Server 2003 为 用 户 提供 了 管理 打印 作业 的 服务 , 应 用 程序 只 需 把 打印 的 文件 送 
往 打印 机 ， 具 体 的 打印 管理 都 由 系统 负责 完成 。 当 然 ， 用 户 也 可 以 通过 Windows Server 2003 
的 打印 管理 器 参与 管理 打印 作业 。 例如， 查看 打印 作业 、 和 暂停 打印 、 恢 复 打印 、 撤 销 打印 等 。 
Windows Server 2003 中 的 打印 管理 器 窗口 如 图 3-27 所 示 。 


图 3-27 打印 管理 器 窗口 


1. 查看 打印 队列 中 的 文档 


查看 打印 机 打印 队列 中 的 文档 ， 有 利于 用 户 和 管理 员 确 认 打 印 文档 的 输出 和 打印 状态 。 
例如 ， 用 户 已 经 发 送 了 一 个 文档 到 打印 机 并 想 查看 它 的 打印 状态 ， 则 可 以 在 “打印 机 ”窗口 
中 双击 文档 所 发 送 的 打印 机 图 标 打开 该 打印 机 的 打印 管理 器 ， 可 以 发 现 列表 框 中 显示 出 打印 
队列 的 详细 内 容 ， 包 括 打印 机 正在 打印 的 文档 和 每 个 文档 的 大 小 、 页 数 、 状 态 、 所 有 者 等 信 
息 。 如 果 在 列表 框 中 没有 发 现 自己 的 文档 ， 则 说 明 该 文档 已 经 打印 完 或 者 没有 传送 到 打印 
机 上 来 。 

查看 打印 机 打印 队列 中 的 文档 ， 还 有 利于 用 户 和 管理 员 进 行 打印 机 的 选择 。 例 如 ， 用 户 
拥有 多 台 打印 机 的 使 用 权 ， 可 以 在 “打印 机 ”窗口 中 双击 各 个 打印 机 ， 打 开 它 们 的 打印 管理 
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器 窗口 查看 它们 的 打印 状态 。 如 果 发 现 打印 速度 比较 快 且 等 待 打印 的 文档 比较 少 的 打印 机 ， 
就 可 以 将 自己 的 文档 发 送 到 该 打印 机 进行 打印 ， 以 提高 打印 速度 。 
2. 暂停 和 继续 打印 一 个 文档 


在 打印 机 的 打印 管理 器 中 右 击 要 暂停 的 打印 文档 , 然后 从 弹出 的 快捷 菜单 中 选择 “暂停 ” 
命令 ， 就 可 以 暂停 该 文档 的 打印 工作 ， 状 态 栏 上 将 显示 “中 断 ” 字 样 。 如 果 用 户 因为 某 种 原 
因 ， 想 暂停 某 个 文档 的 打印 ， 如 某 个 文档 的 内 容 特别 多 且 不 需要 马上 打印 出 来 ， 而 另外 一 些 
文档 相对 比较 小 且 需 要 马上 打印 出 来 ， 那 么 应 在 打印 队列 中 将 这 个 内 容 特 别 多 的 文档 暂停 下 
来 。 文档 暂停 之 后 , 若 要 想 继续 打印 暂停 打印 的 文档 , 只 需 在 打印 文档 的 快捷 菜单 中 选择 “ 继 
续 ” 命 令 即 可 。 不 过 ， 如 果 用 户 暂 停 了 打印 队列 中 优选 级 别 最 高 的 打印 作业 ， 打 印 机 将 停止 
工作 直到 继续 打印 为 止 ， 如 图 3-28 所 示 。 

RE 对 


图 3-28 暂停 打印 文档 


3. 暂停 和 重新 启动 打印 机 打印 作业 


有 时 用 户 和 管理 员 需 要 将 整个 打印 机 的 打印 工作 暂停 下 来 。 例 如 ， 打 印 机 需要 添加 打印 
纸 、 硒 鼓 或 色 带 等 打印 材料 时 ， 就 需要 将 整个 打印 机 的 打印 工作 和 暂停 并 进行 打印 纸 或 硒鼓 的 
添加 。 要 暂停 打印 机 的 打印 工作 ， 只 需 选 择 “ 打 印 机 ”|“ 和 暂停 打印 ”命令 即 可 ， 且 状态 栏 将 
出 现 “ 中 断 ” 字 样 。 当 用 户 和 管理 员 想 重新 启动 打印 机 打印 工作 时 ， 可 再 次 选择 “打印 机 ”| 
“和 暂停 打印 ”命令 使 打印 机 继续 打印 ， 状 态 栏 的 “中 断 ” 字 样 也 将 消失 。 一 般 情 况 下 ， 管 理 
员 不 允许 用 户 来 暂停 打印 机 的 打印 工作 , 也 不 允许 用 户 为 打印 机 添加 硒鼓 或 色 带 等 打印 材料 。 

4. 清除 打印 文档 

如 果 由 于 某 种 原因 ， 用 户 和 管理 员 要 取消 某 个 文档 的 打印 ， 则 可 以 在 打印 队列 中 选择 要 
取消 打印 的 文档 ， 然 后 再 选择 “文档 ” |“ 取消 ”命令 即 可 将 该 文档 清除 。 如 果 用 户 和 管理 员 
要 清除 所 有 的 打印 文档 ， 则 可 以 选择 “打印 机 ”|“ 取 消 所 有 文档 ”命令 。 


打印 机 没有 “还 原 ” 功 能 ， 打 印 作 业 被 取消 之 后 就 不 能 再 恢复 了 ， 要 改变 主意 只 
有 重新 对 打印 队列 中 的 所 有 文档 进行 打印 。 


5. 调整 打印 文档 的 顺序 


在 打印 队列 中 , 打印 优先 级 高 的 文档 将 被 排 在 打印 队列 的 前 面 并 具有 优先 打印 权 , 所 以 ， 
用 户 可 以 通过 更 改 打印 优先 级 来 调整 打印 文档 的 打印 次 序 ， 使 急需 的 重要 文档 先 打 印 出 来 ， 
不 重要 的 文档 后 打印 出 来 。 要 调整 打印 文档 的 顺序 ， 可 以 在 打印 队列 中 右 击 需 调整 打印 次 序 
的 文档 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 “ 文 档 属 性 ”对 话 框 。 在 “优先 级 ” 
选项 区 域 中 拖 动 滑 块 使 之 左右 移动 即 可 改变 被 选 文档 的 优先 级 。 对 于 需要 提前 打印 的 文档 ， 
可 提高 其 优先 级 ， 对 于 不 需要 提前 打印 的 文档 ， 可 降低 其 优先 级 ， 如 图 3-29 所 示 。 
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图 3-29 调整 打印 的 优先 级 


用 户 不 能 调整 正在 打印 的 文档 的 优先 级 别 。 
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活动 目录 管理 


目录 服务 功能 是 Windows 的 重要 功能 之 一 ， 通 过 目录 结构 系统 ， 
可 以 将 网 络 中 的 不 同 对 象 组 织 起 来 以 进行 统一 管理 ， 方 便 地 检索 和 查 
找 对 象 ， 同 时 加 强 网 络 的 安全 性 ， 大 大 简化 了 用 户 管理 。 活 动 目录 是 
Windows Server 2003 提供 的 目录 服务 ， 它 可 以 存储 着 各 种 对 象 的 相 
关 信息 ， 并 使 这 些 信息 易于 管理 员 和 用 户 查找 及 使 用 。 活 动 目录 使 用 
结构 化 的 数据 存储 作为 目录 信息 的 逻辑 层次 结构 的 基础 ， 并 将 安全 性 
集成 到 活动 目录 中 。 通 过 活动 目录 ,系统 管理 员 可 以 对 用 户 和 计算 机 、 
域 和 信任 关系 及 站 点 和 服务 进行 管理 。 通 过 网 络 登 录 ， 系 统管 理 员 能 
够 管理 整个 网 络 中 的 目录 数据 和 单位 ， 而 且 获 得 授权 的 网 络 用 户 也 可 
以 访问 网 络 上 任何 地 方 的 资源 。 
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4.1 活动 目录 概述 


活动 目录 是 一 种 目录 服务 ， 它 存储 有 关 网 络 对 象 的 信息 ， 如 用 户 、 组 、 计 算 机 、 共 享 资 
源 、 打 印 机 和 联系 人 等 ， 并 使 系统 管理 员 和 用 户 可 以 方便 地 查找 和 使 用 网 络 信息 。 活 动 目录 
的 应 用 起 源 于 Windows NT 4.0， 在 Windows Server 2003 中 得 到 进一步 的 发 展 和 应 用 ， 具 有 
可 扩展 性 和 可 调整 性 ， 并 将 结构 化 数据 存储 ， 以 作为 目录 信息 逻辑 和 分 层 组 织 的 基础 。 

Windows Server 2003 的 活动 目录 服务 将 DNS 作为 其 定位 服务 ， 增 强 与 Intemet 的 融合 ， 
将 DNS 与 其 特有 的 DHCP 和 WINS 紧密 配合 ， 同 时 支持 动态 DNS 服务 ， 使 DNS 管理 变 得 
更 加 方便 。 另 外 ，Windows Server 2003 还 可 以 广泛 地 支持 标准 的 命名 规则 ， 如 WWW 使 用 
的 HTTP URL 命名 规则 、Intemet 电子 邮件 使 用 的 RFC 命名 规则 、NetBIOS 采用 的 UNC 命 
名 规则 和 LDAP 命名 规则 等 ,为 了 扩展 的 需要 , Windows Server 2003 还 内 置 了 目录 访问 语言 、 
动态 目录 组 件 、 开 放 服 务 信息 处 理 等 API 接口 ， 为 目录 服务 的 应 用 和 开发 提供 了 强大 的 工具 
支持 。 同 时 ，Windows Server 2003 也 提供 了 良好 的 兼容 性 ， 以 前 的 Windows 版 本 可 以 轻易 
地 直接 升级 到 Windows Server 2003 的 活动 目录 。 


4.1.1 活动 目录 的 特性 


Windows Server 2003 的 活动 目录 是 一 个 完全 可 扩展 、 可 伸缩 的 目录 服务 ， 既 能 满足 商业 
ISP 的 需要 ， 又 能 满足 企业 内 部 网 和 外 联网 的 需要 ， 充 分 体现 了 其 简易 性 、 集 成 性 和 深入 性 


1. 简易 性 


Windows Server 2003 活动 目录 的 简易 之 处 主要 体现 在 其 安装 和 管理 上 。 在 安装 活动 目录 
时 ， 第 一 个 域 服务 器 被 配置 为 域 控制 器 ， 而 其 他 新 安装 的 计算 机 都 被 配置 为 成 员 服务 器 ， 并 
且 , 目录 服务 可 以 再 用 Dcpromo 命令 进行 特别 安装 。Dcpromo 是 一 个 图 形 化 的 向 导 程序 ， 引 
导 用 户 逐 步 地 建立 域 控制 器 (例如 ， 可 以 新 建 一 个 域 林 、 一 棵 域 树 ， 或 者 仅仅 是 域 控制 器 的 另 
一 个 备份 )， 操 作 起 来 非常 方便 。 而 且 很 多 其 他 的 网 络 服务 ， 如 DNS Server、DHCP Server 和 
Certificate Server 等 ， 以 后 都 可 以 与 活动 目录 集成 安装 ， 以 便于 实施 组 策略 管理 。 

在 活动 目录 安装 之 后 ， 主 要 有 3 个 活动 目录 的 MMC 控制 台 : 一 个 是 活动 目录 用 户 和 计 
算 机 管理 ， 主 要 用 于 实施 对 域 的 用 户 和 计算 机 进行 管理 ;一 个 是 活动 目录 域 和 信任 关系 的 管 
理 ， 主 要 用 于 管理 多 域 的 委托 和 信任 关系 ; 还 有 一 个 是 活动 目录 站 点 和 服务 管理 ， 可 以 把 域 
控制 器 置 于 不 同 的 站 点 进行 管理 。 一 般 情 况 下 ， 一 个 站 点 内 的 域 控制 器 之 间 的 复制 是 自动 进 
行 的， 站 点 间 的 域 控制 器 的 复制 需要 系统 管理 员 设 置 ， 以 优化 复制 流量 ， 提 高 可 伸缩 性 。 对 


于 SDOU, 系统 管理 员 还 可 以 方便 地 进行 管理 授权 。 右 击 SDOU 即 可 启动 “管理 授权 向 导 ”， 
逐步 地 设 定 哪些 管理 员 对 于 哪些 对 象 有 什么 样 的 管理 权限 。 例 如 ， 企 业内 部 技术 支持 中 心 的 
管理 员 只 有 复位 用 户口 令 的 权限 ， 而 没有 创建 和 删除 用 户 帐号 的 权限 。 

2. 集成 性 


活动 目录 的 集成 性 主要 体现 在 它 结 合 了 3 个 方面 的 管理 内 容 : 用 户 和 资源 管理 、 基 于 目 
录 的 网 络 服务 和 基于 网 络 的 应 用 管理 。 另 外 ， 活 动 目录 还 广泛 地 采用 了 Intemet 标准 ， 把 众 
多 的 Intemet 服务 都 集成 在 一 起 ， 增 强 了 自身 的 网 络 管理 功能 。 

目录 管理 的 基本 对 象 是 用 户 和 计算 机 ， 还 包括 文件 、 打 印 机 等 资源 。 用 户 对 象 的 属性 非 
常 丰富 ， 不 但 有 常用 的 用 户 名 、 密 码 等， 还 包括 电子 邮箱 和 个 人 主页 地 址 、 在 公司 中 的 职位 
关系 等 ， 可 以 在 活动 目录 中 给 用 户 对 象 发 送 邮件 或 访问 其 个 人 主页 等 。 在 活动 目录 中 支持 全 
局 性 的 查找 ， 如 查找 在 整个 网 络 中 的 打印 机 等 。 

基于 活动 目录 的 应 用 服务 是 Windows Server 2003 平台 上 的 新 一 代 的 应 用 程序 , 它 使 应 用 
程序 开发 员 可 以 扩展 活动 目录 的 Schema 和 UI 两 个 对 象 ， 在 活动 目录 中 发 布 服务 绑 定 信息 ， 
通过 组 策略 配置 应 用 程序 。 比 较 典型 的 基于 目录 的 应 用 程序 是 NetMeeting。 在 活动 目录 环境 
中 , 只 要 在 NetMeeting 中 输入 同事 的 E-mail 地 址 , 即 可 通过 活动 目录 中 的 定位 服务 与 其 进行 
对 话 和 桌面 协作 等 。 

活动 目录 完全 采用 了 Intemet 标准 协议 ， 用 户 帐号 也 可 以 用 “用 户 名 @ 域 名 ”来 表示 ， 
以 进行 网 络 登 录 。 单 个 域 目 录 树 中 的 所 有 域 共 享 一 个 等 级 命名 结构 。 一 个 子 域 的 域名 就 是 将 
该 子 域 的 名 称 添加 到 父 域 的 名 称 中 ， 例 如 ，info.bupt.edu 是 bupt.edu 域 的 子 域 。 目 录 树 中 的 
域 可 以 通过 双向 、 可 传递 的 委托 关系 连接 在 一 起 ， 由 于 这 些 委 托 关 系 是 双向 和 传递 的 ,因此 ， 
加 入 目录 树 的 域 会 立即 与 目录 树 中 的 其 他 域 建立 委托 关系 。 这 些 委托 关系 允许 单个 用 户 登 录 
以 验证 用 户 ， 并 授权 验证 用 户 访问 整个 网 络 ， 它 使 目录 树 中 所 有 其 他 域 中 具有 权限 的 用 户 和 
计算 机 也 可 以 使 用 目录 树 所 有 域 中 的 对 象 ， 例 如 ， 用 户 的 公司 兼并 了 一 家 公司 ， 用 户 的 域 树 
可 以 和 其 他 的 域 树 othercompany.com 建立 起 整个 域 林 。 整 个 域 林 的 所 有 对 象 ， 只 要 安全 性 管 
理 许可 ， 都 可 以 用 LDAP 协议 进行 访问 。DNS( 域 名 服务 ) 充 当 了 名 称 解 析 的 功能 ， 用 户 可 以 
通过 使 用 与 活动 目录 集成 的 DNS 服务 器 来 保证 动态 更 新 域名 和 更 好 的 复制 能 力 。 

另外 ， 活 动 目录 集成 了 关键 服务 ， 如 DNS、MSMQ( 消 息 队 列 服务 )， 并 集成 了 一 些 关键 
应 用 ， 如 电子 邮件 、 网 络 管理 、ERP 等 ; 集成 了 关键 数据 访问 ， 如 ADSI、OLE DB 等 ; 还 
集成 了 关键 的 安全 性 ， 如 Kerberos V5 和 公开 密 钥 基础 设施 等 。 


3. 深入 性 


如 | 


活动 目录 的 深入 性 主要 体现 在 其 企业 级 的 可 伸缩 性 、 安 全 性 、 互 操作 性 、 编 程 能 力 和 升 
级 能 力 上 。Windows Server 2003 活动 目录 允许 用 户 组 建 单 域 来 管理 少量 的 网 络 对 象 ， 也 允许 
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后) 系统 管理 后 


用 户 通过 域 目录 管理 成 万 上 亿 个 对 象 。 活 动 目录 的 伸缩 性 是 通过 为 每 个 域 创建 一 个 目录 存储 
的 方法 来 获得 的 。 在 一 个 域 目录 存储 中 仅仅 包括 了 这 个 域 中 的 所 有 对 象 ， 但 是 ， 当 域 树 建立 
起 来 之 后 ， 每 个 域 都 可 以 搜索 整个 域 树 中 所 有 的 目录 存储 。 这 种 划分 整个 域 树 的 方法 ， 使 用 
户 查 找 所 需要 的 信息 变 得 更 加 方便 、 快 速 。 

活动 目录 的 域 树 和 域 森林 的 组 建 方法 ， 可 帮助 用 户 使 用 容器 层次 来 模拟 一 个 企业 的 组 织 
结构 。 组 织 中 的 不 同 部 门 可 以 成 为 不 同 的 域 或 者 一 个 域 中 的 有 层次 结构 的 组 织 单元 ， 从 而 采 
用 层次 化 的 命名 方法 来 反映 组 织 结构 和 进行 管理 授权 。 顺 着 组 织 结构 进行 颗粒 化 的 管理 授权 ， 
可 以 解决 很 多 管理 上 令 人 头疼 的 问题 ， 在 加 强 中 央 管 理 的 同时 又 不 失 机 动 灵 活性 。 用 户 可 以 
将 WindowsNT 4.0 中 的 很 多 域 都 转换 成 活动 目录 的 组 织 单元 , 建立 起 更 大 的 域 和 更 简化 的 域 
关系 。 另 外 ， 借 助 全 局 目录 (Global Catalog)， 用 户 和 管理 员 仍 然 能 够 迅速 地 找到 对 象 和 管理 
对 象 。 由 于 有 一 系列 的 工具 可 以 帮助 Windows NT 4.0 的 用 户 迁 移 到 Windows Server 2003 的 
目录 环境 中 ，Windows Server 2003 可 以 在 现存 的 Windows NT 4.0 的 环境 中 工作 ， 以 保护 现 
有 的 投资 。 

活动 目录 和 其 安全 性 服务 如 Kerberos，PKI 和 智能 卡 等 紧密 结合 、 相 辅 相 成 ， 共 同 完 成 
安全 任务 和 协同 管理 。 活 动 目录 存储 了 域 安全 政策 的 信息 ， 如 域 用 户口 令 的 限制 政策 和 系统 
访问 权限 等 ， 实 施 了 基于 对 象 的 安全 模型 和 访问 控制 机 制 。 在 活动 目录 中 的 每 个 对 象 都 有 一 
个 独 有 的 安全 性 描述 ， 定 义 了 浏览 或 更 新 对 象 属性 所 需要 的 访问 权限 。 但 是 ， 当 LDAP 客户 
端 访问 域 时 ， 不 是 由 活动 目录 决定 访问 控制 ， 而 是 由 系统 来 实施 访问 安全 控制 。 

另外 ， 活 动 目录 还 充分 考虑 到 了 备份 和 恢复 目录 服务 的 需要 。 在 Windows Server 2003 
备份 工具 中 ， 有 专门 备份 活动 目录 的 选项 ， 当 发 生意 外 事故 时 ， 可 以 在 机 器 启动 时 按 F8 键 
进入 安全 模式 进行 目录 服务 的 恢复 ， 降 低 意 外 灾难 的 影响 。 


4.1.2 活动 目录 的 基本 概念 


作为 Windows Server 2003 的 目录 服务 , 活动 目录 是 由 多 个 组 件 组 成 的 ,其 组 件 包 括 对 象 、 
户 、 计 算 机 、 组 织 单位 和 域 等 。 


1. 用 户 帐 号 
登录 到 网 络 的 每 个 用 户 都 有 自己 的 唯一 账号 和 密码 。 活 动 目录 允许 用 户 登录 到 具有 可 验 


证 并 授权 访问 域 资 源 的 身份 的 计算 机 和 域 ， 用 户 账号 也 可 用 作 某 些 应 用 程序 的 服务 账号 。 
Windows Server 2003 有 两 个 登录 的 预定 义 账号 : Administrator 和 Guest 账号 。 


2. 计算 机 


加 入 到 域 中 并 且 运 行 Windows Server 的 每 一 台 计 算 机 都 具有 计算 机 账号 。 与 用 户 账号 类 
似 ， 计 算 机 账号 提供 了 一 种 验证 和 审核 计算 机 访问 网 络 和 域 资源 的 方法 。 


3. 组 织 单位 


组 织 单位 是 可 将 用 户 、 组 、 计 算 机 和 其 他 单位 放 入 其 中 的 活动 目录 容器 。 组 织 单位 不 能 
包括 来 自 其 他 域 的 对 象 。 组 织 单位 是 可 以 指派 组 策略 设置 或 委派 管理 权限 的 最 小 作用 域 或 单 
位 。 使 用 组 织 单位 ， 用 户 可 在 组 织 单位 中 代表 逻辑 层次 结构 的 域 中 创建 容器 ， 这 样 就 可 以 根 
据 本 地 的 组 织 模型 管理 账号 和 资源 的 配置 及 使 用 。 

组 织 单位 中 还 可 以 包含 其 他 的 组 织 单位 。 用 户 可 以 根据 需要 扩展 容器 的 层次 以 模拟 域 中 
单位 的 层次 。 使 用 组 织 单位 可 帮助 用 户 将 网 络 所 需 的 域 数量 降 到 最 低 。 

用 户 还 可 使 用 组 织 单位 创建 可 缩放 到 任意 规模 的 管理 模型 。 另 外 ， 可 授予 用 户 对 域 中 所 
有 组 织 单位 或 对 单个 组 织 单位 的 管理 权限 ， 并 且 ， 组 织 单位 的 管理 员 不 需要 具有 域 中 任何 其 
他 组 织 单位 的 管理 权 。 

4. 组 


组 是 可 以 包 仿 用户、 联系 人 、 计 算 机 和 其 他 组 的 活动 目录 或 本 机 对 象 ，Windows Server 
2003 通过 组 来 管理 用 户 和 计算 机 对 共享 资源 的 访问 。 与 组 织 单位 不 同 的 是 ,组织 单位 用 于 在 
单个 域 中 创建 对 象 集 ， 组 则 是 用 来 管理 组 织 单位 及 其 包含 的 对 象 。 


4.2 活动 目录 与 域 


在 活动 目录 中 , 域 是 由 共享 公用 目录 数据 库 的 Windows Server 2003 网 络 管理 员 定义 的 
计算 机 集合 。 域 有 唯一 的 名 称 ， 并 为 系统 管理 员 提 供 对 用 户 账号 和 组 账号 的 集中 管理 。 


4.2.1 域 的 概述 


域 (Domain) 是 Windows Server 2003 目录 服务 的 基本 管理 单位 , 与 以 前 版 本 相 比 , 它 增加 
了 许多 新 的 功能 。 域 模式 的 最 大 好 处 就 是 它 的 单一 网 络 登 录 能 力 ， 任 何 用 户 只 要 在 域 中 有 一 
个 账号 即 可 漫游 网 络 。 域 目录 树 中 的 每 一 个 节点 都 有 自己 的 安全 边界 ， 这 种 层次 结构 既 保证 
了 安全 性 ， 又 做 到 细致 兼备 。 但 是 ， 以 前 的 域 的 信任 关系 过 分 强调 安全 性 而 可 调整 性 不 够 。 
新 一 代 的 动态 目录 服务 增强 了 信任 关系 ， 扩 展 了 域 目录 树 的 灵活 性 。 它 把 一 个 域 作为 一 个 完 
整 的 目录 ， 域 之 间 能 够 通过 基于 Kerberos 认证 的 可 传递 的 信任 关系 建立 起 树 状 连接 ， 从 而 使 
单一 账号 在 该 树 状 结构 中 的 任何 地 方 都 有 效 ， 这 样 在 网 络 管理 和 扩展 时 就 比较 轻松 。 动 态 目 
录 服 务 通 过 域内 的 组 织 单元 树 和 域 之 间 的 可 传递 信任 树 来 组 织 其 信任 对 象 ,实现 颗粒 式 管理 ， 
为 动态 活动 目录 的 管理 和 扩展 带 来 了 极 大 的 方便 。 这 样 ， 在 Windows Server 2003 网 络 中 , 一 
个 域 能 够 轻松 地 管理 数 万 个 对 象 ， 而 一 棵 域 树 则 可 以 是 包含 上 亿 个 对 象 的 庞大 的 网 络 。 
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在 Windows Server 2003 中 , 域 中 所 有 域 控 制 器 之 间 都 是 平等 的 关系 , 不 再 区 分 主 域 控制 
器 和 备份 域 控制 器 。 这 主要 是 因为 Windows Server 2003 采用 了 动态 活动 目录 服务 , 在 进行 目 
录 复 制 时 不 是 沿用 一 般 目 录 服务 的 主 从 方式 ， 而 是 采用 多 主 复 制 方式 。Windows Server 2003 
在 复制 目录 库 时 对 各 个 对 象 的 修改 顺序 数 进行 大 小 比较 ， 判 断 它们 被 修改 的 先后 顺序 ， 最 后 
最 新 修改 的 对 象 属性 被 保留 ， 旧 的 属性 被 新 的 属性 所 取代 ， 这 就 保证 了 每 一 个 域 控制 器 上 的 
目录 服务 数据 库 都 是 最 新 的 。 通 过 这 种 方式 ， 任 何 一 个 域 控制 器 上 的 目录 库 的 变更 都 会 自动 
复制 到 其 他 域 控 制 器 上 的 副本 中 。 另 外 ，Windows Server 2003 也 不 再 划分 全 局 组 和 本 地 组 ， 
组 内 可 以 包含 任何 用 户 和 其 他 组 账号 ， 而 不 管 它们 在 域 目录 树 的 什么 位 置 ， 这 样 有 利于 用 户 
对 组 进行 管理 。 

同时 ， 域 也 是 复制 的 单位 ， 特 定 域 中 的 所 有 域 控制 器 可 接收 更 改 的 内 容 并 将 这 些 内 容 复 
制 到 域 中 的 所 有 其 他 域 控制 器 中 。 单 域 还 可 跨越 多 个 物理 位 置 或 站 点 ， 从 而 极 大 地 简化 了 管 
理 的 开销 。 

要 创建 域 ， 用 户 必 须 将 一 个 或 更 多 的 运行 Windows Server 2003 的 计算 机 升级 为 域 控制 
器 。 域 控制 器 为 网 络 用 户 和 计算 机 提供 活动 目录 的 目录 服务 、 存 储 目录 数据 并 管理 用 户 和 域 
之 间 的 交互 作用 , 包括 用 户 登录 过 程 、 验 证 和 目录 搜索 。 每 个 域 至 少 必须 包含 一 个 域 控制 器 。 


4.2.2 多重 域 的 结构 


域 树 和 域 林 是 Windows Server 2003 多 重 域 的 两 个 基本 概念 ， 其 中 域 树 是 由 多 个 域 构成 ， 
而 域 林 是 由 多 个 域 树 和 域 组 成 。 它们 都 是 管理 网 络 资源 的 组 织 形 式 , 但 域 树 是 域 林 的 一 个 子 集 。 


1. 域 树 


域 树 中 的 第 一 个 域 称 作 根 域 。 相 同 域 树 中 的 其 他 域 为 子 域 。 相 同 域 树 中 直接 在 另 一 个 域 上 
一 层 的 域 称 为 子 域 的 父 域 。 具 有 公用 根 域 的 所 有 域 构成 连续 名 称 空间 。 这 意味 着 单个 域 目录 树 
中 的 所 有 域 共享 一 个 等 级 命名 结构 。 一 个 子 域 的 域名 就 是 添加 到 父 域名 中 的 那个 子 域 的 名 称 。 

域 树 中 的 Windows Server 2003 域 通过 双向 可 传递 信任 关系 连接 在 一 起 。 由 于 这 些 信 任 关 
系 是 双向 的 并 且 是 可 传递 的 , 因此 , 在 域 树 或 域 林 中 新 创建 的 Windows Server 2003 域 可 以 立 
即 与 域 树 或 域 林 中 其 他 的 Windows Server 2003 域 建立 信任 关系 。 这 些 信任 关系 允许 单一 登录 
过 程 在 域 树 或 域 林 中 的 所 有 域 上 对 用 户 进行 身份 验证 。 不 过 ， 这 并 不 意味 着 经 过 身份 验证 的 
用 户 在 域 树 的 所 有 域 中 都 拥有 相应 的 权力 和 权限 。 因 为 域 是 安全 界限 ， 所 以 必须 在 每 个 域 的 
基础 上 指派 权力 和 权限 。 

2. 域 林 


域 林 包 括 多 个 域 树 ， 其 中 的 域 树 不 形成 邻接 的 名 称 空间 ， 而 且 域 林 也 有 根 域 。 域 林 的 根 
域 是 域 林 中 创建 的 第 一 个 域 。 域 林 中 所 有 域 树 的 根 域 与 域 林 的 根 域 建立 可 传递 的 信任 关系 。 


如 图 4-1 所 示 ，root.com 是 域 林 的 根 域 ， 其 他 两 个 域 树 的 根 域 Acom 和 1.com 与 rootcom 具 
有 可 传递 的 信任 关系 。 在 整个 域 林 的 所 有 域 树 中 建立 的 信任 关系 ， 是 网 络 用 户 访问 其 他 域 以 
及 系统 管理 员 对 整个 域 树 中 的 资源 进行 管理 的 前 提 。 


信任 关系 


人 


root.com 1.com 


Aicom 


B.A.com CA.com child.root ,com' 2.1.com 


DCAcom grandchild.child root,com 3.2.1.com 


图 4-1 域 林 示 意图 


4.2.3 域 的 命名 规则 


活动 目录 中 的 每 个 域 用 DNS 域名 标识 ， 构 成 域 树 的 域 一 般 共享 一 个 连续 的 名 称 空间 。 
按照 DNS 标准 , 作为 连续 名 称 空间 一 部 分 的 域 的 合格 域名 是 使 用 句点 (字符 格式 附加 到 父 域 
名 称 后 的 。 例 如 ,使 用 “grandchild” NetBIOS 名 称 的 域 有 域名 为 parent.microsoft.com 的 父 域 ， 
则 其 合格 的 DNS 域名 为 grandchild.parent.microsoft.com。 

域 林 中 的 相关 域 树 共享 相同 的 活动 目录 架构 以 及 目录 配置 和 复制 信息 ,但 不 共享 连续 的 
DNS 名 称 空间 。 域 树 和 域 林 的 组 合 提 供 了 灵活 的 域 命名 选项 ， 连 续 和 非 连续 的 DNS 名 称 空 
间 都 可 加 入 到 系统 的 目录 中 。 


4.2.4 域 的 信任 关系 


在 Windows Server 2003 中 ， 通 过 基于 Kerberos V5 安全 协议 的 双向 、 可 传递 信任 关系 来 
启用 域 之 间 的 账号 验证 。 

在 域 树 中 创建 域 时 ， 相 邻 域 ( 父 域 和 子 域 ) 之 间 可 自动 建立 信任 关系 。 在 域 林 中 ， 在 域 林 
根 域 和 添加 到 域 林 的 每 个 域 树 的 根 域 之 间 自 动 建立 信任 关系 , 因为 这 些 信任 关系 是 可 传递 的 ， 
所 以 可 以 在 域 树 或 域 林 中 的 任何 域 之 间 进 行 用 户 和 计算 机 的 身份 验证 。 

域 信任 是 域 之 间 建 立 的 关系 ， 它 可 以 使 一 个 域 中 的 用 户 由 处 在 另 一 个 域 中 的 域 控制 器 来 
进行 验证 。 身 份 验证 请 求 遵循 信任 路 径 ， 信 任 路 径 是 身份 验证 请 求 在 域 之 间 必 须 遵循 的 一 组 
信任 关系 。 在 用 户 可 以 访问 另 一 个 域 中 的 资源 之 前 ，Windows Server 2003 安全 机 制 必须 确定 
信任 域 (含有 用 户 试图 访问 的 资源 的 域 ) 和 受信 任 域 (用 户 的 登录 域 ) 之 间 是 否 有 信任 关系 ， 
此 , Windows Server 2003 安全 系统 将 计算 出 信任 域 中 的 域 控制 器 和 受信 任 域 的 域 控制 器 之 间 
的 信任 路 径 。 域 信任 关系 一 般 分 为 双向 、 单 向 、 可 传递 和 不 可 传递 4 种 。 

1. 单 向 信任 


单 向 信任 是 域 A 信任 域 B 的 单一 信任 关系 。 所 有 的 单 向 关系 都 是 不 可 传递 的 , 并 且 所 有 
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的 不 可 传递 信任 都 是 单 向 的 。 身 份 验证 请 求 只 能 从 信任 域 传 到 受信 任 域 。 例 如 ， 如 果 域 A 与 
域 B 有 单 向 信任 关系 , 域 B 与 域 C 有 单 向 信任 关系 , 但 域 A 与 域 C 之 间 没 有 单 向 信任 关系 。 
由 于 在 域 林 中 的 所 有 Windows Server 2003 域 都 由 可 传递 信任 进行 链接 , 因此 , 在 相同 域 
林 中 的 Windows Server 2003 域 之 间 不 可 能 建立 单 向 信任 。 
2. 双向 信任 


Windows Server 2003 域 林 中 的 所 有 域 信任 都 是 双向 可 传递 信任 。 在 双向 信任 中 , 域 A 信 
任 域 B， 且 域 B 信任 域 A。 建 立新 的 子 域 时 ， 双 向 可 传递 信任 在 新 的 子 域 和 父 域 之 间 自 动 建 
立 。 这 意味 着 身份 验证 请 求 可 在 两 个 目录 中 的 两 个 域 之 间 传 递 。 要 建立 不 可 传递 的 双向 信任 ， 
用 户 必须 在 相关 域 之 间 建 立 两 个 单 向 信任 。 

3. 可 传递 信任 

Windows Server 2003 域 林 中 的 所 有 域 信任 都 是 可 传递 的 。 可 传递 信任 始终 为 双向 : 此 关 
系 中 的 两 个 域 相互 信任 ， 可 传递 信任 不 受信 任 关 系 中 的 两 个 域 的 约束 。 每 次 当 用 户 建立 新 的 
子 域 时 ， 在 父 域 和 新 子 域 之 间 就 隐 含 地 (自动 ) 建 立 起 双向 可 传递 信任 关系 ， 这 样 ， 可 传递 信 
任 关系 在 域 树 中 按 其 形成 的 方式 向 上 流动 ， 并 在 域 树 中 的 所 有 域 之 间 建 立 起 可 传递 信任 。 

每 次 当 用 户 在 域 林 中 建立 新 的 域 树 时 ， 在 域 林 的 根 域 和 新 域 (新 域 树 的 根 ) 之 间 就 建立 起 
双向 可 传递 信任 关系 。 如 果 没 有 子 域 添加 到 新 域 中 ， 则 信任 路 径 建 立 在 这 个 新 的 根 域 和 域 林 
根 域 之 间 ， 如 果 有 子 域 添加 到 新 域 中 (使 其 成 为 域 树 )， 则 信任 关系 在 域 树 中 向 上 流 至 域 树 的 
根 域 ， 扩 展 了 在 域 的 根 和 域 林 的 根 域 之 间 建 立 的 初始 信任 路 径 。 无 论 添加 至 域 林 的 新 域 是 单 
根 域 (无 子 域 ) 还 是 域 树 ,信任 路 径 都 会 通过 域 林 的 根 域 延伸 至 域 林 中 的 任何 其 他 根 域 ， 这 样 ， 
可 传递 信任 关系 在 域 林 中 的 所 有 域 中 流动 。 身 份 验证 请 求 遵 循 这 些 信 任 路 径 ， 因 此 ， 来 自 域 
林 任何 域 中 的 账号 可 在 域 林 中 的 任何 其 他 域 中 进行 验证 。 通 过 单独 的 登录 程序 ， 拥 有 相应 权 
限 的 这 些 账 号 可 潜在 地 访问 域 林 中 任何 域 上 的 资源 。 

例如 ， 域 A 和 域 B 有 可 传递 信任 关系 ,， 域 B 和 域 C 有 可 传递 信任 关系 ， 所 以 域 C 中 的 用 
户 可 访问 域 A 中 的 资源 ， 因 为 域 A 和 域 C 具有 可 传递 信任 关系 ， 并 且 域 A 的 域 树 中 的 其 他 域 
和 域 A 具有 可 传递 信任 关系 ; 所 以 ， 域 B 中 的 用 户 ( 当 授 予 适当 权限 时 ) 可 访问 域 C 中 的 资源 。 

也 可 以 在 相同 域 树 或 域 林 中 的 Windows Server 2003 域 之 间 明 确 地 建立 可 传递 信任 , 这 些 
快捷 信任 关系 可 用 于 缩短 大 型 和 复杂 域 树 或 域 林 中 的 信任 路 径 。 


可 传递 信任 只 能 存在 于 相同 域 林 中 的 Windows Server 2003 域 之 间 。 由 于 信任 关系 
的 流动 性 ， 在 相同 Windows Server 2003 域 林 中 的 域 之 间 不 可 能 有 不 可 传递 信任 关系 。 
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4. 不 可 传递 信任 


不 可 传递 信任 关系 受信 任 关系 中 的 两 个 域 的 约束 ， 并 不 流向 域 林 中 的 任何 其 他 域 。 在 混 
和 模式 环境 中 ， 所 有 的 Windows Server 2003 域 的 信任 都 是 不 可 传递 的 。 但 在 大 多 数 情况 下 ， 
Windows Server 2003 域 中 的 不 可 传递 信任 关系 都 是 由 系统 管理 员 明确 建立 的 。 

不 可 传递 信任 默认 为 单 向 信任 关系 ， 但 用 户 也 可 通过 建立 两 个 单 向 信任 来 建立 一 个 双向 
关系 。 在 不 同 域 林 中 的 域 之 间 手 动 建立 的 所 有 信任 关系 都 是 不 可 传递 的 。 

5. 信任 协议 


Windows Server 2003 使 用 以 下 两 种 协议 之 一 来 验证 用 户 和 应 用 程序 : Kerberos V5 或 
NTLM。Kerberos V5 协议 是 运行 Windows Server 2003 的 计算 机 和 装 有 Windows Server 2003 
客户 软件 的 计算 机 的 默认 协议 。 如 果 系 统 所 涉及 的 任何 计算 机 都 不 支持 Kerberos V5， 则 使 用 
NTLM 协议 。 

通过 Kerberos V5 协议 ， 客 户 机 要 求 将 请 求 从 其 账号 域 中 的 域 控制 器 传递 到 信任 域 中 的 
服务 器 ， 此 请 求 由 客户 机 和 服务 器 信任 的 中 介 发 出 ， 客 户 机 将 该 信任 请 求 提交 给 信任 域 中 的 
服务 器 以 进行 验证 。 

当 客 户 机 试图 访问 使 用 NTLM 验证 的 另 一 个 域 中 服务 器 的 资源 时 ， 含 有 该 资源 的 服务 
器 必须 与 客户 机 账号 域 中 的 域 控制 器 联系 ， 以 验证 访问 的 用 户 权限 。 


4.3 规划 活动 目录 


在 用 户 安装 和 使 用 Windows Server 2003 域 之 前 , 首先 需要 对 本 机 系统 以 及 本 地 网 络 进行 
合理 的 规划 。 这 其 中 的 工作 包括 了 规划 从 以 前 的 域 模型 升级 、 规 划 DNS 的 结构 和 选择 服务 
器 在 域 中 充当 的 角色 等 , 因为 只 有 经 过 合理 规划 的 Windows Server 2003 系统 , 才能 够 全 面 地 
发 挥 其 应 有 的 功能 与 特性 。 


4.3.1 规划 从 以 前 的 域 模式 升级 


在 Windows Server 2003 域 中 ， 网 络 的 域 模式 一 般 有 4 种 : 单个 域 、 主 控 域 、 多 主 控 域 和 
完全 信任 。 每 一 种 模式 都 是 建立 在 主 域 和 资源 域 的 概念 基础 之 上 。 这 些 域 类 型 的 区 别 没有 置 
入 软件 中 ， 而 是 以 其 使 用 方式 为 基础 。 主 控 域 一 般 保 留用 户 和 组 账号 ， 而 资源 域 则 保留 网 络 
资源 ， 如 文件 共享 和 打印 机 。 

如 果 目 前 的 域 模式 不 是 单 域 而 是 其 他 模式 , 则 用 户 可 以 使 用 Windows Server 2003 和 活 
动 目录 的 新 功能 来 减少 网 络 上 的 域 数目 ， 把 几 个 资源 域 和 一 个 主 控 域 合 并 为 一 个 单 域 ， 并 用 
组 织 单位 结构 来 保持 当前 的 容器 结构 ， 可 以 将 所 有 的 账号 和 资源 (用 户 、 计 算 机 、 文 件 共享 和 
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打印 机 ) 组 合成 在 逻辑 上 共 属 的 一 个 域 中 ,这 样 就 能 实现 管理 更 少 的 域 。 下 面 简单 介绍 这 4 种 
域 模式 的 特点 。 
1. 单 域 模式 


当 系 统管 理 员 将 域 控制 器 升级 至 Windows Server 2003 时 , 单 域 模式 将 在 活动 目录 中 产 
生 单 域 。 系 统管 理 员 可 以 使 用 活动 目录 的 许多 新 功能 来 添加 以 前 在 单 域 模式 中 未 使 用 过 的 功 
能 ， 如 创建 组 织 单位 的 层次 结构 来 组 织 账号 和 资源 ， 而 且 可 以 向 它 委派 管理 权 。 

2. 主 控 域 模式 


从 特定 主 控 域 模式 到 活动 目录 的 升级 通常 从 头 开始 ， 因 为 必须 在 这 种 域 网 络 中 建立 一 个 
根 域 。 主 控 域 是 第 一 个 要 升级 的 域 (升级 之 后 成 为 根 域 )， 紧 接着 便 是 升级 资源 域 。 如 果 用 户 
的 网 络 属于 集中 式 网 络 结构 , 可 以 将 整个 网 络 升级 为 一 个 Windows Server 2003 域 , 以 减轻 维 
护 多 个 域 的 管理 工作 。 在 Windows Server 2003 域 中 创建 一 个 组 织 单位 树 , 可 以 保留 现 有 的 多 
个 域 的 单位 结构 。 组 织 单位 树 可 以 反映 旧 的 域 结构 , 也 可 增加 结构 使 网 络 的 层次 比 以 前 更 细 ， 
而 无 须 管理 多 个 域 和 多 个 信任 关系 。 

3. 多 主 控 域 模式 


当 系统 采用 多 主 控 域 模式 时 ， 一 般 是 由 于 用 户 的 网 络 太 大 而 不 能 将 所 有 的 用 户 和 组 放 在 
一 个 域 数据 库 中 ， 或 者 是 用 户 的 网 络 有 几 个 主 地 理 站 点 ， 并 且 每 个 站 点 都 有 一 组 自己 的 用 户 
和 资源 。 这 些 站 点 由 慢 速 连接 链接 而 成 ， 而 且 用 户 不 需要 通过 这 些 连接 的 复制 通信 。 

通过 活动 目录 ， 用 户 可 将 自己 的 计算 机 布置 在 地 理 站 点 中 ， 而 且 用 户 可 以 按 自己 的 意愿 
来 确定 站 点 之 间 复 制 的 时 间 。 如 果 用 户 的 大 站 点 之 间 的 链接 速度 非常 快 ， 能 够 处 理 偶然 性 的 
复制 ， 则 可 以 合并 域 。 如 果 可 以 移动 整个 网 络 到 单个 域 ， 则 用 户 所 在 的 网 络 可 获得 多 主 控 域 
模式 中 的 好 处 。 

如 果 用 户 要 求 有 独立 的 主 控 域 , 应 将 当前 的 每 个 主 控 域 升级 为 Windows Server 2003 域 
目录 树 的 根 域 ， 从 而 可 以 发 挥 活动 目录 的 优势 。 任 何 授权 的 用 户 都 可 以 访问 域 林 的 任何 域 中 
的 资源 。 域 林 也 可 以 使 每 个 域 树 共享 公用 架构 、 配 置 环境 和 公用 的 全 局 编 录 。 如 果 用 户 单位 
的 DNS 名 称 空间 有 一 个 以 上 的 根 名 称 ， 应 该 考虑 这 种 规划 方案 。 

4. 完全 信任 模式 


完全 信任 模式 主要 由 非常 分 散 的 单位 使 用 。 在 Windows Server 2003 中 , 这 种 模式 提供 了 
很 好 的 灵活 性 ， 但 是 需要 经 常 维护 ， 管 理 难度 大 。 

通过 使 用 活动 目录 ， 用 户 可 通过 将 当前 的 每 个 域 设置 成 一 个 域 树 或 域 林 来 保持 独立 性 。 
选择 该 模式 可 减轻 信任 关系 的 管理 负担 ， 因 为 域 树 或 域 林 中 的 所 有 域 都 将 自动 使 用 可 传递 的 
信任 关系 。 通 常情 况 下 ， 只 有 在 用 户 的 单位 要 求 在 多 组 域 中 绝对 自治 而 不 共享 资源 时 ， 才 建 
立 独 立 的 域 林 。 
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4.3.2 规划 DNS 结构 


因为 活动 目录 和 域名 系统 (DNS) 的 名 称 空间 具有 相同 的 结构 , 所 以 适当 地 规划 名 称 空间 ， 
对 活动 目录 的 顺利 配置 至 关 重 要 。 名 称 空间 的 规划 包括 两 个 方面 的 内 容 : 使 用 DNS 命名 和 
使 用 DNS 的 目的 。 

1. 选择 DNS 域名 


配置 DNS 服务 器 时 , 用 户 可 以 首先 选择 一 个 可 用 于 维护 Intemet 上 的 唯一 父 DNS 域名 ， 
如 buptedu。 该 名 称 是 在 Intemet 上 使 用 的 一 个 顶级 域内 的 二 级 域名 。 一 旦 选择 了 父 域名 ， 就 
可 以 将 该 名 称 与 单位 中 使 用 的 位 置 或 单位 名 称 组 合 起 来 形成 其 他 子 域名 ， 例 如 ， 如 果 添 加 
了 子 域 如 auto.info.bupt.edu 域 树 ， 则 可 使 用 该 名 称 组 成 附加 的 子 域名 ， 还 可 以 命名 
gs.auto.info.bupt.edu 子 域 和 fxf.auto.info.bupt.edu 子 域 。 

在 确定 用 户 使 用 的 父 DNS 域名 之 前 ， 需 要 先 执行 搜索 ， 以 查看 该 名 称 是 否 已 经 注册 给 
了 另 一 个 单位 或 个 人 。Internet DNS 名 称 空间 目前 由 Internet 网 络 信息 中 心 管理 。 

2. 规划 DNS 名 称 空间 


如 果 用 户 准 备 使 用 活动 目录 ， 则 需要 先 规划 名 称 空间 。DNS 域名 称 空 间 可 在 Windows 
Server 2003 中 正确 执行 ， 需 要 有 可 用 的 活动 目录 结构 ， 所 以 管理 员 需 要 从 活动 目录 规划 开始 
就 用 适当 的 DNS 名 称 空间 支持 它 。 经 过 审阅 ， 如 果 检 测 到 任何 规划 中 有 不 可 预见 的 或 不 合 要 
求 的 结果 ， 则 根据 需要 进行 修改 。 

在 Windows Server 2003 中 ,用 户 选择 DNS 名 称 用 于 活动 目录 域 时 , 应 该 以 保留 在 Intemet 
上 使 用 的 已 注册 的 DNS 域名 后 级 开始 (如 bupt.edu)， 并 将 该 名 称 和 用 户 使 用 的 地 理 名 称 或 部 
门 名 称 结合 起 来 ， 组 成 活动 目录 域 的 全 名 。 例 如 ，bupt 的 软件 测试 组 可 能 称 他 们 的 域 为 
soft.info.bupt.edu， 这 种 命名 方法 可 以 确保 每 个 活动 目录 域名 是 全 球 唯一 的 ， 而 且 ， 这 种 命名 
方法 一 旦 被 采用 ， 使 用 现 有 名 称 作为 创建 其 他 子 域 的 父 名 称 及 进一步 增 大 名 称 空间 以 供 单位 
中 的 新 部 门 使 用 的 过 程 将 变 得 非常 简单 。 

另外 ， 在 规划 DNS 和 活动 目录 名 称 空间 时 ， 建 议 用 户 使 用 不 同 组 而 且 不 重 全 的 容易 分 
辨 的 名 称 作 为 活动 目录 内 部 和 外 部 DNS 使 用 的 基础 。 例 如 ， 如 果 用 户 采 用 的 父 域名 是 
info.buptedu， 那 么 ， 对 于 内 部 DNS 名 称 的 使 用 ， 用 户 可 以 使 用 诸如 internal. info .buptedu 的 
名 称 ， 而 对 于 外 部 DNS 名 称 ， 用 户 可 以 使 用 诸如 extemalinfo buptedu 的 名 称 ， 保 持 内 部 和 
外 部 名 称 空间 的 区 别 。 这 样 可 以 简化 某 些 配置 的 维护 工作 ， 如 域名 筛选 器 或 排除 列表 等 。 

3. 选择 名 称 


一 般 情况 下 ， 计 算 机 的 全 名 是 计算 机 的 名 称 和 该 计算 机 的 DNS 域名 的 组 合 。 该 计算 机 
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的 DNS 域名 是 计算 机 系统 属性 的 一 部 分 ， 并 且 与 任何 特定 安装 的 网 络 组 件 没有 关系 。 但 是 ， 
既 不 使 用 网 络 也 不 使 用 TCP/IP 的 Windows Server 2003 则 没有 DNS 域名 。 

系统 管理 员 在 选择 DNS 域名 称 时 ， 应 使 用 仅 在 名 称 中 使 用 的 标准 字符 ， 即 允许 在 DNS 
主机 命名 时 使 用 的 Intemet 标准 字符 集 的 一 部 分 ， 一 般 是 采用 英文 DNS 域名 ， 而 不 能 使 用 汉 
字 作 为 域名 的 组 成 部 分 。 目 前 在 RFC 中 定义 并 允许 使 用 的 字符 如 下 : 所 有 大 写字 母 (A~Z)、 
小 写字 母 (a~z)、 数 字 (0~9) 和 连 字号 (-)。 

为 简化 从 Windows NetBIOS 名 称 到 Windows DNS 域名 转化 ，DNS 服务 提供 了 对 扩展 
ASCI 和 Unicode 字符 的 支持 。 但 是 , 这些 附加 的 字符 仅 支持 在 纯 Windows 2000 或 Windows 
2003 网 络 环境 下 使 用 。 这 是 因为 大 多 数 DNS 解析 程序 软件 基于 RFC 1123， 这 是 一 种 标准 化 
Internet 主机 命名 要 求 的 规范 。 如 果 在 Windows Server 2003 安装 过 程 中 输入 了 非 标准 DNS 域 
名 ， 那 么 系统 将 会 出 现 建议 改 用 标准 DNS 名 称 的 警告 信息 。 

为 保证 Windows Server 2003 中 NetBIOS 和 DNS 命名 之 间 的 互 操作 ，Windows Server 
2003 引入 了 一 个 新 的 称 为 NetBIOS 计算 机 名 称 的 命名 参数 。 如 果 计 算 机 的 全 名 是 计算 机 名 
和 计算 机 DNS 域名 的 组 合 ， 则 重新 命名 和 从 NetBIOS 名 称 空间 过 渡 到 DNS 名 称 空间 的 影响 可 
以 达到 最 小 。 


4.3.3 ”规划 域 结构 


最 容易 管理 的 域 结构 就 是 单 域 ， 系 统管 理 员 规划 域 结构 时 可 以 从 单 域 开始 ， 只 有 在 单 域 
模式 不 能 满足 要 求 时 再 增加 其 他 的 域 。 

一 个 域 可 跨越 多 个 站 点 并 且 包 含 数 百 万 个 对 象 ， 站 点 结构 和 域 结构 互相 独立 并 且 非 常 灵 
活 。 单 域 可 跨越 多 个 地 理 站 点 ， 并 且 单个 站 点 可 包含 属于 多 个 域 的 用 户 和 计算 机 。 如 果 只 是 
反映 一 个 部 门 的 组 织 结构 ， 则 不 必 创 建 独立 的 域 树 。 在 一 个 域 中 可 以 使 用 组 织 单位 来 实现 这 
个 目标 ， 然 后 可 以 指定 组 策略 设置 并 将 用 户 、 组 和 计算 机 放 在 组 织 单位 中 。 

尽管 对 一 个 完整 的 网 络 使 用 单 域 有 多 项 优点 ， 但 是 为 了 满足 其 他 的 扩展 性 、 安 全 性 或 复 
制 要 求 ， 可 以 为 单位 部 门 创建 一 个 或 多 个 域 。 了 解 目录 数据 在 域 控制 器 之 间 的 复制 方式 可 帮 
助 规划 单位 部 门 所 需要 的 域 数 量 。 

域 树 主要 用 于 建立 独立 的 名 称 空间 ， 域 树 中 的 所 有 域 都 有 一 个 连续 的 DNS 名 称 空间 。 
如 果 当 前 网 络 借用 连续 的 DNS 名 称 空间 ， 则 可 能 需要 将 所 有 的 域 都 建立 在 单个 域 树 中 。 域 
林 中 的 每 个 域 树 都 有 自己 的 唯一 名 称 空间 。 域 林 中 的 所 有 域 共享 相同 的 全 局 编 录 ， 每 个 域 的 
授权 用 户 都 可 以 访问 域 林 中 其 他 域 的 资源 。 如 果 有 分 散 的 网 络 (在 该 网 络 中 , 不同 的 部 门 由 完 
全 独立 的 管理 员 进行 管理 )， 则 可 能 需要 多 个 域 (或 域 树 )。 通 过 独立 的 域 (或 域 树 )， 每 一 组 管 
理 员 都 可 独立 于 其 他 域 (或 域 树 ) 建 立 他 们 自己 的 安全 策略 。 


4.3.4 选择 服务 器 的 角色 


Windows Server 2003 可 以 按 任何 角色 运行 , 用 户 可 以 很 轻松 地 配置 服务 器 的 不 同 角色 来 
满足 自己 的 需要 。 在 Windows Server 2003 域 中 , 服务 器 可 充当 的 角色 包括 了 域 控制 器 和 成 员 
服务 器 。 如 果 用 户 的 计算 机 并 不 作为 域 中 的 成 员 ， 则 需要 将 本 机 设置 为 独立 的 服务 器 ， 不 过 
这 种 服务 器 角色 不 能 使 用 活动 目录 所 提供 的 任何 好 处 ， 因 此 ， 在 Windows Server 2003 域 中 ， 
用 户 只 需 考虑 本 机 是 作为 域 控制 器 或 成 员 服务 器 即 可 。 

1. 域 控制 器 


域 控制 器 是 使 用 活动 目录 安装 向 导 配 置 的 、 运行 Windows Server 2003 的 计算 机 。 活动 目 
录 安 装 向 导 安装 和 配置 为 用 户 和 计算 机 提供 的 活动 目录 目录 服务 的 组 件 。 域 控制 器 存储 着 目 
录 数 据 并 管理 用 户 域 的 交互 ， 其 中 包括 用 户 登 录 过 程 、 身 份 验证 和 目录 搜索 。 

一 个 域 可 有 一 个 或 多 个 域 控制 器 。 为 了 获得 高 可 用 性 和 容错 能 力 , 使 用 单个 局 域 网 (LAN) 
的 小 单位 可 能 只 需要 一 个 具有 两 个 域 控制 器 的 域 。 具 有 多 个 网 络 位 置 的 大 公司 在 每 个 位 置 都 
需要 一 个 或 多 个 域 控制 器 以 提供 高 可 用 性 和 容错 能 力 ， 而 且 活 动 目录 支持 域 中 所 有 域 控制 器 
之 间 目 录 数 据 的 多 宿主 复制 。 但 是 ， 某 些 更 改 以 多 宿主 方式 进行 是 不 实际 的 ， 因 为 这 样 只 有 
一 个 称 作 操作 主 机 的 域 控制 器 可 接受 这 些 更 改 请 求 。 在 任何 活动 目录 域 林 中 ， 至 少 有 3 个 指 
派 给 一 个 或 多 个 域 控制 器 的 不 同 操作 主机 角色 。 

Windows Server 2003 域 控制 器 扩展 了 Windows Server 2000 的 域 控 制 器 所 提供 的 能 力 和 
特性 。Windows Server 2003 多 宿主 复制 使 每 个 域 控 制 器 上 的 目录 数据 同步 ， 以 确保 随 着 时 间 
的 推移 这 些 信息 仍 能 保持 一 致 。 多 宿主 复制 是 Windows Server 2000 中 使 用 的 主 域 控制 器 和 
备份 域 控制 器 模型 的 发 展 。 


2. 成 员 服 务 器 


在 某 个 域 中 作为 服务 器 使 用 的 计算 机 具有 1~2 个 角色 : 域 控制 器 或 成 员 服务 器 。 成 员 服 
务 器 是 Windows Server 2003 域 的 成 员 。 因 为 它 不 是 域 控制 器 ， 所 以 不 处 理 账号 登录 过 程 ， 不 
参与 活动 目录 复制 ， 也 不 存储 域 安全 策略 信息 。 成 员 服务 器 一 般 用 作 以 下 类 型 的 服务 器 : 
e 文件 服务 器 
应 用 服务 器 
数据 库 服务 器 
Web 服务 器 
证 书 服务 器 
防火 墙 
远程 访问 服务 器 
这 些 成 员 服 务 器 遵循 为 站 点 、 域 或 组 织 单位 定义 的 组 策略 设置 。 
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域 中 的 服务 器 可 执行 的 角色 ， 要 么 作为 域 控制 器 ， 要 么 作为 成 员 服务 器 。 用 户 可 以 根据 
自己 的 需要 灵活 地 改变 服务 器 的 角色 。 使 用 活动 目录 安装 向 导 可 以 将 成 员 服务 器 升级 至 域 控 
制 器 ， 也 可 以 将 域 控制 器 降级 为 成 员 服 务 器 。 


4.4 安装 活动 目录 


虽然 活动 目录 具有 强大 的 功能 , 但 在 安装 Windows Server 2003 时 , 系统 并 没有 安装 活动 
目录 。 用 户 要 将 自己 的 服务 器 配置 成 域 控制 器 来 发 挥 活动 目录 的 作用 ， 必 须 安装 活动 目录 。 
系统 提供 的 活动 目录 安装 向 导 , 可 帮助 用 户 配置 自己 的 服务 器 。 如 果 网 络 没有 其 他 域 控制 器 ， 
可 将 服务 器 配置 为 域 控制 器 并 新 建 子 域 或 者 新 建 域 目录 树 。 如 果 网 络 中 有 其 他 域 控制 器 ， 可 
将 服务 器 设置 为 附加 域 控制 器 ， 加 入 旧 域 和 旧 目 录 树 。 

第 一 次 安装 活动 目录 可 以 通过 启动 “配置 您 的 服务 器 向 导 ” 来 为 服务 器 指定 一 个 典型 角 
色 ; 如 果 是 升级 到 活动 目录 ， 可 以 在 向 导 页 中 选择 安装 “ 域 控制 器 ”。 有 具体 的 操作 步骤 如 下 。 

(1) 打开 “开始 ”菜单 ， 选 择 “ 管 理工 具 ” 菜 单 中 的 “配置 您 的 服务 器 向 导 ” 命 令 即 可 
启动 向 导 程 序 ， 如 图 4-2 所 示 。 

(2) 单 击 “ 下 一 步 ”按钮 ， 打 开 向 导 的 “配置 选项 ”对 话 框 。 在 该 对 话 框 中 ， 如 果 用 户 
是 第 一 次 配置 系统 的 服务 器 角色 ， 可 以 选择 “第 一 台 服 务 器 的 典型 配置 ” 单 选 按钮 ， 系 统 将 
安装 活动 目录 服务 以 及 为 PP 地 址 管理 安装 DNS 服务 器 和 DHCP 服务 器 。 如 果 需 要 添加 服务 
器 的 角色 (文件 服务 器 、 打 印 服务 器 或 应 用 程序 服务 器 等 )， 可 以 选择 “ 自 定 义 配置 ” 单 选 按 
钮 来 自 定义 服务 器 角色 ， 如 图 4-3 所 示 。 
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4-2 “配置 您 的 服务 器 向 导 ” 对 话 框 4-3 “配置 选项 ”对 话 框 


(3) 如 果 选 择 “第 一 台 服 务 器 的 典型 配置 ” 单 选 按钮 ， 那 么 ， 用 户 只 要 在 向 导 页 的 引导 
下 逐步 操作 , 即 可 方便 快捷 地 完成 活动 目录 的 安装 ,默认 情况 下 , 系统 会 自动 安装 DNS 和 DHCP 
服务 器 。 如 果 选 择 的 是 “ 自 定义 配置 ” 单 选 按钮 ， 则 在 打开 的 “服务 器 角色 选择 ”对 话 框 中 选 
择 “ 域 控制 器 ”选项 ， 系 统 将 会 打开 “Active Directory 安装 向 导 ” 对 话 框 ， 如 图 4-4 所 示 。 
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(4) 单 击 “ 下 一 步 ” 按 钮 ， 将 会 出 现 设置 操作 系统 兼容 性 的 对 话 框 ， 以 说 明 运 行 活动 目 
录 的 Windows 版 本 要 求 ， 运 行 Windows 98 以 前 版 本 的 计算 机 将 无 法 登录 到 运行 Windows 
Server 2003 的 域 控制 器 或 访问 域 资 源 。 

(5) 单 击 “下 一 步 ”按钮 ， 打 开 选 择 域 控制 器 类 型 对 话 框 ， 用 户 可 以 新 建 一 个 域 控制 器 ， 
或 在 现 有 域外 添加 一 个 额外 域 控制 器 ， 如 图 4-5 所 示 。 
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图 44 “Active Directory 安装 向 导 ” 对 话 框 4-5 选择 域 控制 器 类 型 


(6) 单 击 “ 下 一 步 ”按钮 ， 将 打开 如 图 4-6 所 示 的 “创建 一 个 新 域 ”对 话 框 ， 用 户 可 以 
从 中 选择 创建 域 的 类 型 。 

。 在 新 林 中 的 域 : 表示 创建 一 个 新 域 或 让 新 域 独立 于 当前 的 域 林 。 

。 在 现 有 域 树 中 的 子 域 : 表示 把 新 域 作为 现 有 域 的 子 域 。 

。 在 现 有 的 林 中 的 域 树 ， 表示 创建 一 个 与 现 有 树 分 开 的 、 新 的 域 树 。 

(7) 在 选择 了 创建 的 域 类 型 后 ， 单 击 “ 下 一 步 ”按钮 ， 将 打开 为 新 域 命名 的 对 话 框 ， 用 
户 可 以 为 新 域 输入 一 个 DNS 域名 ， 如 图 4-7 所 示 。 
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4-6 “创建 一 个 新 域 ”对 话 框 4-7 为 新 的 域 指定 名 称 


(8) 指定 DNS 域名 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 将 打开 “NetBIOS 域名 ”对 话 框 ，NetBIOS 
域名 是 早期 Windows 版 本 的 计算 机 用 来 识别 新 域 的 , 用 户 可 以 输入 新 名 称 ,也 可 以 接受 系统 
默认 的 域名 ， 如 图 4-8 所 示 。 

(9) 在 指定 NetBIOS 域名 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 将 打开 “数据 库 和 日 志文 件 文件 夹 ” 
对 话 框 ， 用 户 需要 指定 保存 活动 目录 数据 库 和 活动 目录 日 志 的 位 置 。 如 果 以 后 需要 可 恢复 性 
的 操作 ， 用 户 可 以 将 数据 库 和 日 志 存 放 在 不 同 的 硬盘 上 ， 如 图 4-9 所 示 。 
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图 4-8 “NetBIOS 域名 ”对 话 框 图 4-9 “数据 库 和 日 志文 件 文件 夹 ”对 话 框 


(10) 指定 了 保存 数据 库 和 日 志 的 位 置 后 ， 单 击 “ 下 一 步 ”按钮 ， 将 打开 “共享 的 系统 卷 ” 对 
话 框 。 用 户 需要 指定 作为 系统 卷 共享 的 文件 夹 的 位 置 ， 系 统 默认 的 SYSVOL 文件 就 用 来 存放 域 的 
公用 文件 的 服务 器 副本 ， 并 且 文 件 夹 中 的 内 容 被 复制 到 域 中 的 所 有 域 控制 器 ， 如 图 4-10 所 示 。 

(11) 在 指定 共享 文件 夹 的 位 置 后 ， 单 击 “ 下 一 步 ”按钮 ， 将 打开 “权限 ”对 话 框 ， 可 从 
中 选择 用 户 和 组 对 象 的 默认 权限 ， 如 图 4-11 所 示 。 
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图 4-10 “共享 的 系统 卷 ”对 话 框 图 4-11 “权限 ”对 话 框 


(12) 单 击 “ 下 一 步 ”按钮 ， 打 开 “ 目 录 服 务 还 原 模式 的 管理 员 密 码 ” 对 话 框 ， 要 求 用 户 
输入 管理 员 账 号 的 密码 ， 这 个 账号 是 出 现 系统 灾难 时 ， 还 原 目录 服务 时 登录 的 新 域 管理 员 账 
号 ， 如 图 4-12 所 示 。 

(13) 单 击 “ 下 一 步 ”按钮 ， 将 打开 “摘要 ”对 话 框 ， 其 中 显示 了 创建 域 控制 器 时 的 设置 ， 
如 图 4-13 所 示 。 
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图 4-12 “目录 服务 还 原 模式 的 管理 员 密 码 ” 对 话 框 图 4-13 “摘要 ”对 话 框 
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(14) 单 击 “ 下 一 步 ”按钮 ， 系 统 开始 安装 活动 目录 ， 如 图 4-14 所 示 。 
(15) 最 后 ， 单 击 “ 完 成 ”按钮 ， 重 新 启动 计算 机 即 可 完成 活动 目录 的 安装 ， 如 图 4-15 
所 示 。 
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图 4-14 活动 目录 的 安装 状态 图 4-15 活动 目录 安装 完成 对 话 框 


(16) 安装 活动 目录 成 功 后 ， 系 统 会 在 “开始 ”菜单 中 的 “管理 工具 ” 子 菜单 中 添加 活动 
目录 的 管理 控制 台 : 活动 目录 用 户 和 计算 机 、 活 动 目录 域 和 信任 及 活动 目录 站 点 和 服务 。 


4.5 ”管理 活动 目录 


在 用 户 实际 应 用 活动 目录 的 过 程 中 ， 有 许多 管理 性 质 的 工作 需要 进行 ， 例 如 ， 管 理 域 中 
的 用 户 和 计算 机 ， 创 建 本 地 域 与 其 他 域 的 信任 关系 ， 以 及 创建 站 点 来 管理 活动 目录 的 信息 复 
制 等 。 而 要 完成 以 上 的 工作 , 用 户 需要 用 到 活动 目录 管理 工具 , 该 工具 随 Windows Server 2003 
一 起 提供 ， 在 安装 活动 目录 完成 后 ， 它 将 自动 添加 到 “管理 工具 ”的 菜单 中 ， 大 大 简化 了 目 
录 服 务 的 管理 。 


4.5.1 活动 目录 的 管理 工具 


活动 目录 提供 了 直观 和 功能 强大 的 管理 工具 ， 可 以 分 级 地 组 织 对 象 ， 以 适应 大 型 企业 的 
结构 。 用 户 可 以 使 用 Microsoft 管理 控制 台 (MMC) 来 建立 专门 执行 单项 管理 任务 的 自 定义 工 
具 ， 也 可 以 将 几 个 管理 工具 合并 到 一 个 控制 台中 ， 还 可 以 将 自 定义 工具 分 配给 具有 特定 管理 
任务 的 管理 员 。 

活动 目录 管理 工具 只 能 在 可 访问 Windows Server 2003 域 的 计算 机 中 使 用 。 主 要 的 活动 目 
录 管 理工 具 可 在 Windows Server 2003 域 控制 器 的 “管理 工具 ”菜单 中 获得 。 

e 活动 目录 用 户 和 计算 机 

e 活动 目录 域 和 信任 关系 

e 活动 目录 站 点 和 服务 
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另外 ，Windows Server 2003 还 提供 了 对 脚本 编辑 和 自动 化 功能 的 支持 。 任 何 可 以 通过 用 
户 界面 执行 的 操作 都 可 以 通过 编辑 脚本 来 实现 。 为 了 使 系统 管理 员 能 够 编写 命令 行 过 程 ， 活 
动 目录 提供 了 对 自动 化 和 脚本 编辑 的 完全 支持 。 这 就 可 以 通过 使 用 活动 目录 以 及 一 种 脚本 编 
辑 语言 如 Visual Basic、Java 或 者 其 他 语言 来 编写 脚本 ， 以 实现 活动 目录 的 管理 功能 。 


4.5.2 ”设置 域 控制 器 的 属性 


为 了 加 强 对 域 控制 器 的 管理 ， 使 域 控制 器 安全 稳定 的 运行 ， 系 统管 理 员 必须 设置 域 控制 
器 的 属性 。 通 过 设置 域 控制 器 属性 ， 不 但 可 以 确定 域 控制 器 的 位 置 、 操 作 系统 和 常规 属性 ， 
还 可 以 为 域 控制 器 指定 权限 组 和 管理 用 户 。 

下 面 是 设置 属性 的 具体 操作 步骤 。 

(1) 单 击 “ 开 始 ”菜单 ， 在 “管理 工具 ” 子 菜单 中 选择 “Active Directory 用 户 和 计算 机 ” 
命令 ， 打 开 “Active Directory 用 户 和 计算 机 ”窗口 ， 如 图 4-16 所 示 。 

(2) 在 控制 台 窗口 的 目录 树 中 展开 域 节点 ， 单 击 Domain Controllers 子 节点 ， 即 可 在 右边 
的 详细 资料 窗 格 中 显示 出 域 控 制 器 的 相关 内 容 。 在 详细 资料 窗 格 中 ， 在 要 设置 属性 的 域 控制 
器 上 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 该 控制 器 的 属性 对 话 框 ， 
如 图 4-17 所 示 。 

(3) 在 “常规 ”选项 卡 中 的 “描述 ”文本 框 中 ， 可 以 输入 对 该 域 控制 器 的 一 般 描述 。 如 果 
不 希望 域 控制 器 的 可 受信 任用 来 作为 委派 ， 可 取消 对 “信任 计算 机 作为 委派 ” 复 选 框 的 选择 。 
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图 4-16 “Active Directory 用 户 和 计算 机 ”窗口 图 4-17 域 控制 器 的 “属性 ”对 话 框 


(4) 要 查看 域 控制 器 的 操作 系统 ， 可 打开 “操作 系统 ”选项 卡 ， 其 中 将 显示 出 操作 系统 
的 名 称 和 版 本 ， 系 统管 理 员 只 能 查看 但 不 能 修改 这 些 内 容 ， 如 图 4-18 所 示 。 

(5) 要 为 域 控制 器 添加 隶属 对 象 ， 可 以 打开 “隶属 于 ”选项 卡 ， 单 击 其 中 的 “添加 ” 按 
钮 打开 “选择 组 ”对 话 框 ， 可 以 为 域 控制 器 选择 一 个 需要 添加 的 组 ， 如 图 4-19 所 示 。 


图 4-18 “操作 系统 ”选项 卡 图 4-19 添加 成 员 组 


(6) 当 系 统管 理 员 为 域 控 制 器 添加 多 个 组 时 ， 还 可 以 为 域 控制 器 设置 一 个 主要 组 ， 一 般 
为 Domain Controllers， 也 可 为 Cert Publishers。 要 设置 主要 组 ， 先 在 “隶属 于 ”列表 框 中 选 
择 需 要 设置 的 主要 组 ， 然 后 单 击 “ 设 置 主要 组 ”按钮 即 可 。 

(7) 为 了 便于 查找 域 控 制 器 ， 应 先 打开 “位 置 ” 选 项 卡 ， 在 “位 置 ” 文 本 框 中 输入 域 控 
制 器 的 位 置 ， 或 者 单 击 “ 浏 览 ”按钮 选择 路 径 ， 查 找 指定 的 域 控制 器 。 

(8) 要 更 改 域 控制 器 的 管理 者 ， 可 以 打开 “管理 者 ”选项 卡 ， 单 击 其 中 的 “更 改 ” 按 钮 
打开 “选择 用 户 或 联系 人 ”对 话 框 ， 选 择 新 的 管理 者 即 可 。 在 “管理 者 ”选项 卡 中 单 击 “ 属 性 ” 
按钮 可 以 查看 该 管理 者 的 属性 设置 。 单 击 “ 清 除 ”按钮 可 以 删除 指定 的 管理 者 ， 如 图 4-20 所 示 。 

(9) 用 户 也 可 以 打开 “对 象 ”选项 卡 查看 该 域 控制 器 的 规范 名 称 、 创建 时 间 等 , 如 图 4-21 
所 示 。 


图 4-20 指定 域 控制 器 的 管理 者 图 4-21 “对 象 ”选项 卡 


(10) 域 控制 器 设置 完成 后 ， 单 击 “确定 ”按钮 保存 设置 即 可 。 
4.5.3 创建 域 信 任 关系 


域 信 任 关 系 是 一 种 建立 在 域 间 的 关系 ， 它 使 一 个 域 中 的 用 户 可 由 另 一 个 域 中 的 域 控 制 器 
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来 进行 验证 。 所 有 的 域 信任 关系 中 只 有 两 种 域 : 信任 关系 域 和 被 信任 关系 域 。 系 统管 理 员 根 
据 需要 创建 的 域 信任 关系 来 实现 计算 机 之 间 资 源 的 共享 。 当 管理 员 需 要 将 域 目录 域 林 中 的 某 
个 域 与 域 目录 域 林 外 的 某 个 域 建 立信 任 关系 时 ， 就 应 建立 外 部 明确 信任 关系 ， 当 管理 员 需 要 
在 域 目录 域 林 中 的 两 个 域 之 间 直 接 建立 信任 关系 以 减少 目录 域 林 信任 路 径 的 身份 验证 时 间 
时 ， 应 建立 内 部 快捷 信任 关系 。 

创建 域 信任 关系 的 操作 步骤 如 下 。 

(1) 单 击 “ 开 始 ” 菜单 , 选择 “管理 工具 ”| “活动 目录 域 和 信任 关系 ”命令 , 打开 “Active 
Directory 域 和 信任 关系 ”窗口 ， 如 图 4-22 所 示 。 
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此 视图 中 这 有 可 显示 的 项 目 。 


图 4-22 “Active Directory 域 和 信任 关系 ”窗口 


(2) 在 “Active Directory 域 和 信任 关系 ”窗口 的 目录 树 中 ， 在 “Active Directory 域 和 信 
任 关 系 ” 根 节点 上 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 其 属性 对 话 
框 ， 如 图 4-23 所 示 。 

(3) 在 “常规 ”选项 卡 中 可 以 输入 对 该 域 控制 器 的 一 般 描述 ， 还 可 以 查看 该 域 的 功能 乡 
别 是 混合 模式 或 是 本 机 模式 。 

(4) 打开 “信任 ”选项 卡 ， 即 可 查看 该 域 控制 器 中 受 此 域 信任 的 域 和 信任 此 域 的 域 的 名 
称 、 类 型 等 ， 如 图 4-24 所 示 。 
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(5) 要 创建 新 的 域 信任 关系 ， 可 以 单 击 “ 新 建 信任 ”按钮 ， 打 开 “ 新 建 信任 向 导 ” 对 话 
框 ， 如 图 4-25 所 示 。 

(6) 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 信 任 名 称 ” 对 话 框 ， 用 户 可 以 在 “名 称 ” 文 本 框 中 输 
入 信任 域 的 名 称 。 如 果 该 信任 域 是 其 他 域 林 中 的 域 ， 则 需要 输入 NetBIOS 或 DNS 名 称 来 创 
建 信任 关系 ， 如 图 4-26 所 示 。 
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(7) 指定 信任 域 的 名 称 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 信 任 类 型 ”对 话 框 ， 用 户 可 以 
根据 需要 选择 适当 的 信任 类 型 ， 如 图 4-27 所 示 。 

(8) 确定 信任 类 型 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 信 任 的 传递 性 ”对 话 框 。 用 户 可 以 
选择 创建 的 信任 关系 是 否 具有 传递 性 ， 如 图 4-28 所 示 。 
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(9) 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 信 任 方向 ”对 话 框 ， 在 确定 了 信任 传递 的 类 型 后 ， 还 
要 为 信任 选择 方向 性 ， 以 指定 创建 的 信任 关系 是 双向 信任 还 是 单 向 信任 ， 如 图 4-29 所 示 。 

(10) 选择 信任 方向 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 信 任 密码 ”对 话 框 。 用 户 需 要 为 创 
建 的 信任 关系 输入 密码 ， 该 密码 被 域 控制 器 用 来 确认 域 之 间 的 信任 关系 ， 如 图 4-30 所 示 。 
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(11) 设置 信任 密码 之 后 ， 单 击 “ 下 一 步 ”按钮 ， 将 出 现 创 建 信任 关系 时 的 基本 情况 ， 用 
户 确 认 已 正确 之 后 ， 单 击 “ 下 一 步 ”按钮 将 会 出 现 “ 正 在 完成 新 建 信任 向 导 ” 对 话 框 ， 单 
“完成 ”按钮 即 可 完成 信任 关系 的 新 建 ， 如 图 4-31 所 示 。 

(12) 创建 完成 后 ， 即 可 返回 “信任 ”选项 卡 查看 列表 区 域 中 显示 的 新 的 信任 关系 ， 如 图 
4-32 所 示 。 

(13) 如 果 用 户 要 撤销 信任 关系 ， 在 “ 受 此 域 信任 的 域 ”或 “信任 此 域 的 域 ”列表 框 中 单 
击 需 要 撤销 的 信任 关系 ， 然 后 单 击 “删除 ”按钮 即 可 。 
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4-31 “正在 完成 新 建 信任 向 导 ” 对 话 框 图 4-32 显示 添加 的 新 信任 关系 


4.5.4 ”更 改 域 功能 级 别 


在 Windows Server 2003 域 控制 器 中 , 域 功能 可 启用 影响 整个 域 林 或 只 影响 该 域 的 管理 功 
能 。 域 功能 一 般 有 4 个 级 别 ， 它 们 分 别 是 : Windows 2000 混合 (默认 )、Windows 2000 本 机 、 
Windows Server 2003 临时 和 Windows Server 2003。 默 认 情况 下 ，Windows Server 2003 域 控 
制 器 是 以 系统 默认 的 Windows 2000 混合 功能 级 别 进行 操作 。 

管理 员 可 以 根据 自己 所 在 网 络 的 实际 情况 来 设置 域 的 功能 级 别 ， 有 具体 的 操作 步骤 如 下 。 

(1) 单 击 “ 开 始 ” 菜 单 ， 选 择 “ 管 理工 具 ”|“Active Directory 用 户 和 计算 机 ”命令 ， 打 
开 “Active Directory 域 和 信任 关系 ”控制 台 窗 口 。 在 控制 台 目 录 树 中 ， 在 需要 管理 的 域 节点 


ral 


单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “提升 域 功能 级 别 ”命令 , 打开 “提升 域 功能 级 别 ” 
对 话 框 ， 如 图 4-33 所 示 。 
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图 4-33 “提升 域 功能 级 别 ” 对 话 框 


(2) 在 “提升 域 功能 级 别 ” 对 话 框 中 可 以 查看 域 控制 器 的 当前 域 功能 级 别 ， 用 户 可 以 根 
据 需 要 在 “选择 一 个 可 用 的 域 功 能 级 别 ” 下 拉 列 表 中 选择 新 的 域 功能 级 别 ， 然 后 单 击 “ 提 升 ” 
按钮 即 可 。 


一 旦 提升 域 功能 级 别 之 后 ,就 不 能 再 将 运行 旧版 操作 系统 的 域 控制 器 引入 该 域 中 。 
例如 , 如 果 将 域 功能 级 别提 升 至 Windows Server 2003, 就 不 能 再 将 运行 Windows 2000 
的 域 控制 器 添加 到 该 域 中 。 


4.5.5 “管理 不 同 的 域 


在 “Active Directory 用 户 和 计算 机 ”控制 台中 ,管理 员 除了 可 以 管理 本 地 域外 ， 还 可 以 管 
理 域 林 中 的 不 同 域 。 但 是 在 管理 不 同 的 域 之 前 , 必须 先 建立 当前 域 与 要 管理 的 域 之 间 的 连接 。 

在 具有 多 个 域 的 单位 中 ， 管 理 员 经 常 需要 管理 用 户 当 前 登录 的 域 之 外 的 另 一 个 域 。 控 制 
对 特定 域 的 管理 访问 的 安全 方法 是 : 严格 控制 具有 该 域 管理 权限 的 账号 数量 和 知道 这 些 账号 
的 人 数 。 只 有 知道 该 账号 名 称 和 密码 的 用 户 才能 够 对 该 域 进 行 管理 性 的 更 改 ， 例 如 ， 如 果 另 
一 个 域 中 的 管理 员 需 要 与 严格 控制 的 域 建 立 快捷 信任 ， 唯 一 的 方式 就 是 通过 与 严格 控制 域 的 
管理 员 进行 通信 ， 就 信任 的 公认 密码 达成 协议 ， 并 允许 严格 控制 域 的 管理 员 在 该 域 中 建立 信 
任 关系 。 

在 维护 网 络 的 过 程 中 ， 如 果 管 理 员 需 要 其 他 域 控制 器 来 管理 网 络 用 户 和 计算 机 ， 必 须 连 
接 到 其 他 域 控制 器 继续 执行 管理 功能 ， 以 保证 网 络 的 正常 运作 。 由 于 在 Windows Server 2003 
中 不 再 区 分 主 域 控制 器 和 辅助 域 控制 器 ， 域 控制 器 的 连接 也 变 得 更 加 简单 ， 只 需 与 其 他 任何 
一 个 可 写 的 域 控制 器 建立 连接 即 可 。 但 是 ， 如 果 管理 员 需 要 连接 不 同 域 中 的 域 控制 器 ， 在 连 
接 之 前 必须 先 连 接 到 其 他 域 ， 否 则 网 络 将 无 法 找到 域 控制 器 。 
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要 连接 到 域 控制 器 ,打开 “Active Directory 用 户 和 计算 机 ”控制 台 窗 口 ， 在 控制 台 目 录 
树 中 的 “Active Directory 用 户 和 计算 机 ” 根 站 点 单 击 鼠 标 右键 , 在 弹出 的 快捷 菜单 中 选择 “ 连 
接 到 域 控制 器 ”命令 ,打开 如 图 4-34 所 示 的 “连接 到 域 控制 器 ”对 话 框 ， 从 中 可 以 查看 当前 
域 控制 器 的 名 称 , 然后 在 “输入 另 一 个 域 控制 器 的 名 称 ” 文 本 框 中 输入 要 连接 的 域 控制 器 名 ， 
或 者 在 域 控制 器 列表 中 选择 一 个 要 连接 的 域 控制 器 。 如 果 在 域 控制 器 列表 中 没有 列 出 其 他 可 
用 的 域 控制 器 ， 可 以 在 “或 者 选择 一 个 可 用 的 域 控制 器 ”列表 框 中 选择 “任何 可 写 的 域 控制 
器 ”选项 ,系统 会 根据 网 络 连接 情况 自动 选择 可 用 的 域 控制 器 。 指 定 了 要 连接 的 域 控制 器 后 ， 
单 击 “ 确 定 ”按钮 即 可 完成 连接 。 


图 4-34 “连接 到 域 控制 器 ”对 话 框 
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作为 多 用 户 、 多 任务 的 网 络 操作 系统 ，Windows Server 2003 拥 
有 一 个 完备 的 系统 帐户 系统 和 安全 、 稳 定 的 工作 环境 。 系 统 帐户 包括 
用 户 帐户 、 计 算 机 帐户 、 组 帐户 和 组 织 单元 。 只 有 通过 用 户 帐 户 和 组 
帐户 ， 用 户 才 可 以 加 入 到 网 络 中 与 其 他 用 户 或 组 联网 ， 实 现 对 网 络 资 
源 的 访问 。 通 过 为 用 户 帐户 和 组 帐户 设置 权限 ， 可 以 赋予 和 限制 用 户 
访问 网 络 中 各 种 资源 的 权限 。 在 Windows Server 2003 网 络 系统 中 ， 
系统 的 帐户 管理 是 管理 员 所 要 完成 的 最 重要 的 工作 。Windows Server 
2003 将 用 户 和 组 的 管理 全 部 集成 到 计算 机 管理 模块 中 , 使 系统 管理 员 
可 以 摆脱 各 种 繁琐 的 工作 ， 管 理 起 来 轻松 自如 。 
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5.1 用 户 帐 户 管理 


如 果 多 个 用 户 共同 使 用 一 台 计 算 机 ， 那 么 ， 该 计算 机 上 的 所 有 软 硬 件 资源 都 是 共享 的 ， 
这 样 既 不 便于 管理 系统 资源 ， 也 不 便于 保护 个 人 的 设置 和 数据 。Windows Server 2003 提供 的 
用 户 帐 户 管理 机 制 很 好 地 解决 了 这 个 问题 。 用 户 通过 自己 的 帐户 登录 到 计算 机 后 ， 只 能 拥有 
共享 资源 的 使 用 权 ， 而 不 能 查看 或 修改 其 他 用 户 在 该 计算 机 上 的 数据 和 个 人 设置 。 

要 登录 到 本 地 计算 机 或 者 网 络 中 的 用 户 必须 拥有 一 个 用 户 帐户 。 用 户 帐户 是 Windows 
Server 2003 网 络 上 的 用 户 的 唯一 标识 符 。Windows Server 2003 使 用 域 帐户 来 确认 用 户 的 身 
份 ， 并 通过 创建 、 移 动 、 设 置 用 户 帐户 来 授予 用 户 对 共享 资源 的 访问 级 别 和 权限 。 


5.1.1 用 户 帐 户 简介 


用 户 帐户 是 多 用 户 计算 机 系统 和 网 络 系统 的 一 种 认可 。 在 Windows Server 2003 网 络 中 ， 
任何 人 在 使 用 共享 资源 和 登录 网 络 之 前 都 必须 具有 一 个 用 户 帐户 。 用 户 使 用 帐户 登录 时 ， 系 
统 会 确认 该 帐户 并 为 该 用 户 提供 一 个 访问 令 牌 。 当 用 户 访问 网 络 上 的 任何 资源 时 ， 该 访问 令 
牌 就 会 与 访问 控制 列表 进行 比较 以 确定 该 用 户 是 否 具有 访问 资源 的 权限 。 
Windows Server 2003 提供 了 3 种 不 同类 型 的 用 户 帐户 ,分 别 为 全 局 用 户 帐户 、 本 地 用 户 
帐户 和 内 置 用 户 帐户 。 使 用 全 局 用 户 帐户 ， 用 户 可 以 登录 到 域 上 访问 网 络 资源 ， 使 用 本 地 用 
户 帐户 , 用 户 可 以 登录 到 一 台 特 定 的 计算 机 上 , 访问 该 计算 机 上 的 资源 ; 使 用 Windows Server 
2003 系统 提供 的 内 置 用 户 帐户 ， 用 户 可 以 完成 系统 的 资源 管理 工作 或 者 访问 网 络 资源 。 
一 般 情况 下 ， 系 统管 理 员 和 用 户 都 可 以 使 用 全 局 帐户 、 本 地 帐户 或 者 内 置 帐户 登录 计算 
机 和 网 络 。 在 Windows Server 2003 中 提供 的 内 置 帐 户 能 够 更 方便 系统 管理 员 和 用 户 进行 系统 
管理 和 资源 访问 , 内 置 帐户 是 在 系统 的 安装 过 程 中 自动 在 Windows Server 2003 中 添加 的 , 其 
中 最 常用 的 两 个 内 置 帐户 是 Administrator 和 Guest。 
e Administrator 帐户 : 即 系统 管理 员 , 它 拥有 最 高 的 权限 。 通常 ,使 用 该 帐户 可 以 管理 
Windows Server 2003 系统 和 帐户 数据 库 ,Administrator 帐户 是 在 安装 Windows Server 
2003 时 ， 系 统 提示 输入 系统 管理 员 帐 户 名 称 和 密码 后 创建 的 ， 系 统管 理 员 帐 户 的 默 
认 名 称 是 Administrator。 用 户 可 以 根据 需要 改变 系统 管理 员 的 帐户 名 称 , 但 是 无 法 删 
除 它 , 而 且 需 要 注意 的 是 , Administrator 帐户 并 不 会 自动 拥有 对 Windows Server 2003 
上 所 有 目录 与 文件 的 访问 权限 。 

e@ Guest 帐户 : 即 为 临时 访问 计算 机 的 用 户 提供 的 帐户 。Guest 帐户 是 在 安装 系统 时 自 
动 添加 的 ， 并 且 也 不 能 被 删除 ， 但 其 名 字 可 以 改变 。Guest 帐户 只 有 很 少 的 权限 ， 系 
统管 理 员 可 以 改变 Guest 帐户 的 权限 。 作 为 保护 措施 ，Windows Server 2003 默认 是 


禁止 使 用 该 帐户 登录 的 ， 也 就 是 说 ，Guest 帐户 的 默认 值 是 禁止 的 ， 如 果 要 使 用 该 帐 
户 可 将 其 启用 。 
在 公司 网 络 管理 中 ,用户 帐户 的 管理 是 管理 员 经 常 要 进行 的 工作 ， 主 要 包括 用 户 帐户 的 
添加 、 删 除 、 售 用/ 启用、 移动 和 密码 设置 等 ， 下 面 分 别 进行 介绍 。 


5.1.2 ”创建 用 户 帐 户 


由 于 用 户 帐户 是 用 户 进行 本 地 登录 和 访问 网 络 资 源 的 凭证 ， 所 以 ， 当 有 用 户 要 使 用 计算 
机 或 网 络 时 ， 系 统管 理 员 必须 为 其 创建 一 个 用 户 帐户 。 用 户 在 本 地 计算 机 系统 上 拥有 用 户 帐 
户 时 只 能 在 本 机 上 进行 登录 ， 仍 然 不 能 使 用 域 网 络 中 的 资源 。 用 户 要 加 入 到 域 中 并 使 用 域 网 
络 上 的 资源 ， 必 须 请 求 管理 员 在 域 控制 器 中 为 其 创建 一 个 相应 的 域 用 户 帐户 ， 否 则 该 用 户 将 
无 法 访问 域 中 的 资源 。 

通常 ,系统 管理 员 使 用 “Active Directory 用 户 和 计算 机 ”控制 台 来 创建 新 的 域 用 户 帐 户 ， 
具体 操作 步骤 如 下 。 

(1) 单 击 “ 开 始 ” 菜 单 ， 选 择 “ 管 理工 具 ”|“Active Directory 用 户 与 计算 机 ”命令 ， 打 
开 “Active Directory 用 户 和 计算 机 ”控制 台 窗口 ， 在 Users 节点 处 单 击 鼠 标 右键 ， 在 弹出 的 
快捷 菜单 中 选择 “新 建 ”| User 命令 ， 如 图 5-1 所 示 。 
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5-1 “Active Directory 用 户 和 计算 机 ”窗口 


(2) 选择 User 命令 后 将 打开 “新 建 对 象 -User” 对 话 框 ， 在 该 对 话 框 中 的 “ 姓 ” 和 “名 ” 
文本 框 中 分 别 输入 所 要 创建 的 帐户 的 姓 和 名 ， 系 统 会 自动 在 “姓名 ”文本 框 中 生成 用 户 的 全 
称 。 然 后 在 “用 户 登录 名 ”文本 框 中 输入 用 户 登录 时 使 用 的 名 称 。 如 果 用 户 需 要 在 运行 
Windows 2000 以 前 版 本 的 计算 机 上 登录 时 ， 可 以 在 “用 户 登录 名 (Windows 2000 以 前 版 本 )” 
文本 框 中 输入 不 同 的 登录 名 ， 如 图 5-2 所 示 。 

(3) 指定 用 户 登录 名 称 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 新 建 对 象 ” 的 设置 密码 对 话 框 。 
在 “密码 ”和 “确认 密码 ”文本 框 中 输入 要 为 用 户 帐户 设置 的 密码 ， 如 图 5-3 所 示 。 
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图 5-2 “新 建 对 象 ” 对 话 框 图 5-3 设置 密码 


设置 密码 对 话 框 中 还 列 出 了 帐户 密码 的 设置 选项 。 如 果 管理 员 希 望 用 户 下 次 登录 时 更 改 
密码 ， 可 以 选中 “用 户 下 次 登录 时 须 更 改 密码 ” 复 选 框 ， 否 则 选中 “用 户 不 能 更 改 密码 ” 复 
选 框 。 如 果 希 望 该 帐户 密码 永远 不 过 期 ， 可 以 选中 “密码 永 不 过 期 ” 复 选 框 。 如 果 暂 不 启用 
该 用 户 帐户 ， 可 以 选中 “帐户 已 禁用 ” 复 选 框 。 

(4) 设置 完 帐 户 密码 后 ， 单 击 “ 下 一 步 ”按钮 ， 将 打开 完成 创建 帐户 对 话 框 ， 其 中 显示 
了 所 创建 帐户 的 基本 信息 ， 如 图 5-4 所 示 。 
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图 5-4 完成 创建 
(5) 设置 完毕 ， 单 击 “完成 ”按钮 即 可 完成 创建 一 个 帐户 。 
5.1.3 ”设置 用 户 密码 策略 


用 户 密码 是 用 户 帐户 的 重要 安全 依据 。 系 统管 理 员 应 提供 安全 的 用 户 密码 策略 ， 防 止 非法 
用 户 借用 其 他 用 户 的 帐户 和 盗用 来 的 密码 进行 计算 机 和 网 络 登录 ， 和 危害 系统 和 信息 资源 的 安全 。 
设置 Windows Server 2003 用 户 密码 策略 包括 密码 长 度 、 截 止 时 间 和 登录 失败 后 停止 等 。 用 户 密 
码 策略 被 存储 在 系统 配置 和 分 析 工 具 中 , 该 工具 提供 了 对 所 有 安全 设置 的 集中 管理 界面 。 为 了 配 
置 这 些 安全 策略 ，Windows Server 2003 提供 了 一 系列 的 安全 模板 。 为 了 在 Windows Server 2003 
中 管理 系统 帐户 的 安全 ， 系 统 提供 了 MMC 控制 台 管理 单元 ， 包 括 安全 模板 和 安全 配置 分 析 。 

1. 安全 模板 


Microsoft 公司 提供 了 多 个 安全 模板 作为 示例 。 系 统管 理 员 可 以 选择 使 用 直接 提供 的 安全 


管 表 


模板 或 者 复制 这 些 安全 模板 ， 并 根据 需要 添加 所 需 的 管理 单元 。 系 统管 理 员 可 以 使 用 这 些 安 
全 模板 为 管理 的 服务 器 定义 不 同安 全 配置 文件 。 

系统 管理 员 创 建 个 人 安全 模板 ， 首 先 需 要 把 安全 管理 单元 加 载 到 MMC 控制 台中 ， 然 后 
把 模板 加 载 到 “安全 配置 和 分 析 ” 管 理 单元 数据 库 中 ， 有 具体 的 操作 步骤 如 下 。 

(1) 在 “开始 ”菜单 中 选择 “运行 ”命令 ,输入 mme 命令 后 单 击 “ 确 定 ” 按 钮 。 打 开 
MMC 控制 台 窗 口 ， 在 窗口 的 “文件 ”菜单 中 选择 “添加 /删除 管理 单元 ”命令 ， 按 照 第 2 章 
中 介绍 的 添加 管理 单元 的 方法 ， 从 “添加 独立 管理 单元 ”对 话 框 中 选择 添加 “安全 模板 ”和 
“安全 配置 和 分 析 ” 两 个 基本 管理 单元 ， 如 图 5-5 所 示 。 

(2) 系统 管理 员 也 可 以 根据 实际 需要 添加 其 他 管理 单元 , 然后 单 击 “ 关 闭 ” 按 钮 关闭 “ 添 
加 独立 管理 单元 ”对 话 框 ， 即 可 在 “添加 /删除 管理 单元 ”对 话 框 的 列表 框 中 看 到 所 添加 的 管 
理 单元 ， 如 图 5-6 所 示 。 
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5-5 “添加 独立 管理 单元 ”对 话 框 图 5-6 完成 “安全 管理 单元 ”的 添加 


(3) 创建 新 的 安全 模板 之 后 ， 管 理 员 还 需要 创建 “安全 配置 和 分 析 ” 管 理 单元 数据 库 ， 
并 把 安全 模板 加 载 到 该 数据 库 中 。 在 控制 台 窗 口 的 “安全 配置 和 分 析 ” 管 理 单元 节点 单 击 鼠 
标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “打开 数据 库 ” 命 令 ， 如 图 5-7 所 示 。 

(4) 在 打开 的 “打开 数据 库 ” 对 话 框 中 ， 管 理 员 可 以 在 “文件 名 ”文本 框 中 为 需要 创建 
的 数据 库 指定 一 个 名 称 ， 然 后 单 击 “ 打 开 ” 按 钮 ， 如 图 5-8 所 示 。 
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5-7 ”创建 “安全 配置 和 分 析 ” 数 据 库 5-8 “打开 数据 库 ” 对 话 框 
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(5) 在 打开 的 “导入 模板 ”对 话 框 中 ， 选 择 用 于 安全 配置 数据 库 的 模板 ， 如 securedec 等 ， 
然后 单 击 “ 打 开 ” 按 钮 即 可 完成 “安全 配置 数据 库 ” 的 创建 ， 如 图 5-9 所 示 。 
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图 5-9 “导入 模板 ”对 话 框 
(6) 要 激活 这 个 安全 配置 数据 库 , 可 以 在 控制 台 的 “安全 配置 和 分 析 ” 管 理 单元 节点 单 击 鼠 标 
右键 ， 在 弹出 的 快捷 菜单 中 选择 “立即 配置 计算 机 ”命令 ,打开 “ 配 置 系统 ”对 话 框 。 按 照 系统 
提示 保存 日 志文 件 ， 单 击 “ 确 定 ”按钮 后 ， 系 统 立 即 开 始 配置 计算 机 安全 策略 ， 如 图 5-10 所 示 。 
(7) 完成 数据 库 的 配置 后 ， 右 击 “ 安 全 配置 和 分 析 ” 管 理 单元 ， 在 弹出 的 快捷 菜单 中 选 
择 “ 立 即 分 析 计 算 机 ”命令 ， 打 开 “ 进 行 分 析 ” 对 话 框 。 在 该 对 话 框 中 指定 需要 分 析 的 日 志 
文件 的 路 径 ， 单 击 “确定 ”按钮 后 ， 系 统 立 即 开始 分 析 系统 的 安全 配置 ， 如 图 5-11 所 示 。 


图 5-10 “配置 系统 ”对 话 框 图 5-11 “进行 分 析 ” 对 话 框 
(8) 系统 分 析 完 毕 后 ， 将 在 “安全 配置 和 分 析 ” 管 理 单元 节点 下 出 现 安全 摘要 选项 ， 管 
理 员 可 以 针对 每 个 安全 选项 进行 相应 的 安全 配置 ， 如 图 5-12 所 示 。 
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图 5-12 “安全 配置 和 分 析 ” 管 理 单元 的 选项 


第 一 次 创建 “安全 配置 和 分 析 ” 数 据 库 完成 后 ， 必 须 对 数据 库 进 行 分 析 才 能 激活 
该 数据 库 并 配置 相关 帐户 安全 策略 。 


2. 设置 帐户 策略 


系统 管理 员 设 置 的 “帐户 策略 ”部 分 主要 包括 以 下 3 个 分 类 。 

e 密码 策略 : 用 来 确定 用 户 设置 的 密码 是 否 合乎 要 求 。 

e 帐户 锁定 策略 : 用 来 设置 什么 时 候 及 多 长 时 间 内 帐户 将 在 系统 中 被 锁定 不 能 使 用 。 

e Kerberos 策略 : 用 来 对 用 户 进行 身份 和 密码 验证 的 协议 。 

管理 员 可 以 根据 需要 对 创建 的 帐户 设置 不 同 的 帐户 策略 ， 具 体 的 设置 操作 步骤 如 下 。 

(1) 打开 或 创建 具有 “安全 模板 ”管理 单元 的 MMC 控制 台 ， 并 扩展 “安全 模板 ”管理 
单元 的 节点 ， 在 选 定 的 安全 模板 文件 节点 上 继续 扩展 至 “帐户 策略 ”， 如 图 5-13 所 示 。 


图 5-13 扩展 的 “安全 模板 ”管理 单元 节点 


(2) 单 击 “密码 策略 ” 子 节点 ， 在 右边 的 窗 格 中 将 显示 相关 的 配置 控制 列表 ， 可 以 通过 
修改 特定 的 参数 来 设置 帐户 的 “密码 策略 ”， 如 图 5-14 所 示 。 


图 5-14 “密码 策略 ”的 参数 选项 
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例如 ， 要 禁用 “密码 必须 符合 复杂 性 要 求 ” 选 项 ， 可 以 在 该 选项 上 单 击 鼠 标 右键 ， 在 弹 
出 的 快捷 菜单 中 选择 “属性 ”命令 ， 或 者 双击 该 选项 打开 “属性 ”对 话 框 ， 在 对 话 框 中 可 以 
选择 是 否 启用 “密码 必须 符合 复杂 性 要 求 ” 选 项 ， 如 图 5-15 所 示 。 

如 果 需 要 设置 帐户 密码 的 长 度 ， 可 以 打开 “密码 长 度 最 小 值 属性 ”对 话 框 ， 在 其 中 指定 
密码 长 度 的 最 小 值 ， 如 图 5-16 所 示 。 


密码 长 度 最 小 值 尾 性 Xx 


密码 双 须 符合 复杂 性 要 求 星 性 


到 Ey 
图 5-15 “密码 必须 符合 复杂 性 要 求 属性 ”对 话 框 图 5-16 “密码 长 度 最 小 值 属性 ”对 话 框 


其 他 的 密码 策略 选项 可 以 参考 上 述 步骤 进行 设置 , 然后 单 击 “ 确 定 ” 按 钮 即 可 使 设置 生效 。 
(3) 在 “帐户 锁定 策略 ”中 ， 管理 员 可 以 设置 相关 的 策略 选项 来 保证 系统 登录 的 安全 性 ， 
主要 包括 以 下 选项 。 
。 帐户 锁定 阐 值 ， 用 来 指定 帐户 自动 被 禁用 之 前 允许 登录 失败 的 次 数 ， 一 般 情况 下 可 
以 把 该 阀 值 设置 在 4-7 之 间 。 这 样 能 给 用 户 足够 的 时 间 来 确定 大 写字 母 锁定 键 是 否 
已 被 激活 ， 并 防止 非法 用 户 通过 多 次 登录 来 测试 帐户 的 密码 。 
e 帐户 锁定 时 间 : 用 来 设置 当 达到 帐户 锁定 次 数 之 后 的 帐户 保持 锁定 的 时 间 值 。 一 般 
情况 下 ， 管 理 员 可 以 把 该 选项 禁用 ， 以 防止 锁定 的 帐户 自动 变 成 重新 启用 。 
e 复位 帐户 锁定 计数 器 : 用 来 指定 当 登 录 失效 时 帐户 复位 之 前 的 等 待 时 间 值 。 如 果 这 
个 时 间 值 设置 得 太 短 ， 非 法 登录 的 用 户 就 能 在 帐户 等 待 复位 的 时 间 内 重复 测试 密码 。 
(4) 参考 上 述 步 又， 管理 员 也 可 以 设置 “Kerberos 策略 ”中 的 相关 选项 。 在 设置 了 所 有 
帐户 策略 之 后 ， 可 以 继续 加 载 需 要 的 安全 模板 ， 然 后 在 “安全 配置 和 分 析 ” 管 理 单元 中 选择 
“立即 配置 服务 器 ”命令 ， 完 成 帐户 策略 的 安全 设置 。 


在 输入 用 户 帐户 名 时 ， 要 注意 符合 以 下 规则 。 

@ 用 户 登录 名 最 多 可 以 容纳 20 个 字符 (大 写 或 者 小 写 )， 且 不 能 使 用 以 下 字符 : 
1"[]:;|=?+*?<>。 

e 用 户 名 不 能 仅 由 空格 组 成 。 

@ ”可 以 组 合 使 用 特殊 字符 ， 这 有 助 于 惟一 标识 用 户 帐户 。 用 户 的 登录 名 不 区 别 
大 小 写 ， 但 Windows Server 2003 登录 时 会 保持 大 小 写 原状 。 


5.1.4 用户 帐户 管理 


通过 “Active Directory 用 户 和 计算 机 ”控制 台 窗 口 ， 系 统管 理 员 可 以 很 方便 地 完成 用 户 
帐户 管理 的 各 种 操作 ， 包 括 设置 用 户 帐户 的 属性 、 重 设 用 户 帐户 的 密码 ， 以 及 移动 、 禁 用 、 
启用 和 删除 用 户 帐户 等 。 


1. 设置 帐户 属性 


所 有 用 户 帐户 的 属性 管理 都 是 通过 Active Directory 用 户 和 计算 机 应 用 程序 来 完成 的 。 要 
设置 帐户 的 属性 ， 可 以 打开 “Active Directory 用 户 和 计算 机 ”控制 台 窗口 ， 单 击 需要 管理 的 
域 节点 ， 选 择 Users 子 节点 ， 右 边 的 窗 格 中 将 显示 出 域 中 的 当前 用 户 和 组 的 列表 ， 在 列表 中 
右 击 用 户 的 名 称 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 即 可 打开 “帐户 属性 ”对 话 框 ， 
如 图 5-17 所 示 。 

帐户 属性 对 话 框 中 有 各 种 属性 选项 卡 ， 管 理 员 可 以 根据 需要 为 创建 的 帐户 设置 各 种 属 
性 , 例如 ， 在 “配置 文件 ”选项 卡 中 可 以 指定 该 帐户 的 配置 文件 路 径 和 登录 脚本 ; 在 “安全 ” 
选项 卡 中 可 以 指定 该 帐户 对 系统 文件 的 访问 权限 等 。 


图 5-17 帐户 属性 对 话 框 


2. 重 设 用 户 密码 


在 网 络 管理 中 ， 系 统管 理 员 需要 定期 修改 用 户 的 密码 ， 以 维护 网 络 的 登录 安全 。 另 外 ， 
当 出 现 用 户 密码 被 人 盗用 或 者 用 户 感到 有 必要 修改 密码 时 ， 系 统管 理 员 也 应 修改 用 户 密码 。 
通常 ， 系 统管 理 员 可 以 通过 使 用 Windows Server 2003 提供 的 修改 密码 工具 重新 设置 用 户 密 
码 ， 所 设置 的 密码 应 与 用 户 所 在 的 组 织 单元 和 用 户 帐户 的 各 种 信息 应 保持 一 致 性 ， 以 方便 用 
户 记忆 。 

重新 设置 用 户 密码 的 具体 操作 步骤 如 下 。 

(1) 打开 “Active Directory 用 户 和 计算 机 ”控制 台 窗 口 ， 展 开 域 节点 并 单 击 Users 子 节点 ， 在 


[90] 


A 


局 好 es 


100 


右边 的 窗 格 中 将 显示 出 域 中 的 当前 用 户 和 组 的 列表 ， 在 需要 重新 设置 密码 的 用 户 帐 户 上 单 击 鼠 标 


右键 ， 从 弹出 的 快捷 菜单 中 选择 “ 重 设 密码 ”命令 ， 打 开 “ 重 设 密码 ”对 话 框 ， 如 图 5-18 所 示 。 


图 5-18 “ 重 设 密码 ”对 话 框 
(2) 在 对 话 框 中 的 “新 密码 ”和 “确认 密码 ”文本 框 中 输入 要 设置 的 新 密码 。 如 果 管 理 员 
需要 用 户 在 下 次 登录 时 修改 密码 ， 可 以 选中 “用 户 下 次 登录 时 须 更 改 密码 ” 复 选 框 ， 然 后 单 击 
“确定 ”按钮 保存 设置 ， 同 时 系统 会 打开 确认 信息 对 话 框 ， 单 击 “ 确 定 ” 按 钮 即 可 完成 设置 。 


在 重新 设置 了 用 户 密码 后 ， 用 户 必须 注销 之 后 重新 登录 ， 新 密码 才能 生效 。 


3. 移动 用 户 帐户 


移动 用 户 帐户 就 是 将 用 户 帐户 从 一 个 组 织 单元 或 容器 移动 到 另 一 个 组 织 单元 或 容器 。 在 
一 个 大 型 网 络 中 ， 用 户 帐户 经 常 被 移动 ， 例 如 ， 当 一 个 用 户 从 一 个 部 门 调 到 另 一 个 部 门 时 ， 
管理 员 就 应 当 将 其 帐户 移动 到 代表 目标 部 门 的 组 织 单元 中 。 

在 Windows Server 2003 中 , 移动 用 户 帐户 的 操作 不 但 可 以 在 本 地 域 中 进行 , 还 可 以 在 不 
同 的 域 中 进行 。 这 就 大 大 方便 了 管理 员 对 用 户 帐 户 的 管理 ， 减 少 了 管理 员 重 新 创建 用 户 帐 户 
的 工作 量 。 例 如 ， 管 理 员 要 删除 域 林 中 的 一 个 域 ， 但 又 不 想 删除 该 域 中 的 用 户 帐户 设置 ， 就 
可 以 将 所 有 的 用 户 帐户 移动 到 新 的 域 中 。 

移动 用 户 帐户 的 具体 操作 步骤 如 下 。 

(1) 打开 “Active Directory 用 户 和 计算 机 ”控制 台 窗口 , 展开 域 节点 并 单 击 Users 子 节点 ， 
在 右边 的 窗 格 中 将 显示 出 域 中 的 当前 用 户 和 组 的 列表 ， 在 需要 移动 的 用 户 帐户 上 单 击 鼠标 右 
键 ， 从 弹出 的 快捷 菜单 中 选择 “移动 ”命令 ， 打 开 “ 移 动 ”对 话 框 ， 如 图 5-19 所 示 。 


| 


图 5-19 “移动 ”对 话 框 


(2) 在 “将 对 象 移动 到 容器 ”列表 框 中 双击 域 节点 ， 展 开 该 节点 。 如 果 网 络 中 有 多 个 域 ， 
可 以 将 用 户 帐 户 移动 到 其 他 域 中 。 单 击 移动 的 目标 组 织 单元 或 容器 ， 然 后 单 击 “确定 ”按钮 
即 可 完成 移动 。 

4. 禁用 用 户 帐户 


要 禁用 用 户 帐 户 ， 可 打开 “Active Directory 用 户 和 计算 机 ”控制 台 窗 口 ， 展 开 域 节点 并 
单 击 Users 子 节点 ， 在 右边 的 窗 格 中 将 显示 出 域 中 的 当前 用 户 和 组 的 列表 ， 在 列表 中 需要 禁 
用 的 用 户 帐户 上 单 击 鼠标 右键 ， 从 弹出 的 快捷 菜单 中 选择 “禁用 帐户 ”命令 ， 在 打开 的 如 图 
5-20 所 示 的 确定 信息 对 话 框 中 单 击 “ 确 定 ”按钮 即 可 禁用 该 帐户 ， 在 用 户 列表 中 将 出 现 禁 
用 帐户 的 图 标 。 
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图 5-20 禁用 确认 对 话 框 


5. 启用 用 户 帐户 


要 启用 用 户 帐户 ， 可 打开 “Active Directory 用 户 和 计算 机 ”控制 台 窗 口 ， 展 开 域 节点 并 
单 击 Users 子 节点 ， 在 右边 的 窗 格 中 将 显示 出 域 中 的 当前 用 户 和 组 的 列表 。 在 列表 中 需要 禁 
用 的 用 户 帐户 上 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “启用 帐户 ”命令 ， 在 打开 的 如 图 
5-21 所 示 的 确定 信息 对 话 框 中 单 击 “ 确 定 ” 按 钮 ， 即 可 启用 所 选择 的 帐户 。 


图 5-21 启用 确认 对 话 框 


5. 删除 用 户 帐户 


当 系统 中 添加 的 某 个 用 户 帐户 不 再 被 使 用 时 ， 管 理 员 应 将 该 用 户 帐户 删除 以 便 更 新 系统 
的 用 户 信息 ， 防 止 其 他 用 户 使 用 该 用 户 帐 户 进行 系统 登录 。 要 删除 一 个 用 户 帐户 ， 可 以 在 
“Active Directory 用 户 和 计算 机 ”控制 台 窗 口 的 目录 树 中 ， 展 开 需 要 删除 用 户 所 在 的 组 织 单 
元 或 容器 ， 然 后 在 详细 资料 窗 格 中 需要 删除 的 用 户 上 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选 
择 “ 删 除 ”命令 ， 在 弹出 的 信息 提示 框 中 单 击 “ 是 ”按钮 即 可 删除 该 用 户 。 
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5.2 ”组 和 组 织 单元 管理 


在 Windows Server 2003 的 活动 目录 中 ， 系 统 不 但 使 用 组 来 赋予 一 些 用 户 或 计算 机 权限 ， 
而 且 还 引入 了 组 织 单元 来 加 强 对 用 户 、 计 算 机 和 组 的 管理 。 组 和 组 织 单元 成 为 管理 员 管 理 用 
户 和 计算 机 的 有 力 工具 。 


5.2.1 组 简介 


组 是 活动 目录 或 本 地 计算 机 中 的 对 象 ， 它 包括 用 户 、 联 系 人 、 计 算 机 和 其 他 组 。 在 
Windows Server 2003 中 ,组 可 以 用 来 管理 用 户 和 计算 机 对 共享 资源 的 访问 ， 如 活动 目录 对 象 
及 其 属性 、 网 络 共享 、 文 件 、 目 录 、 打 印 机 队列 ， 还 可 以 用 来 筛选 组 策略 。 引 入 组 的 概念 主 
要 是 为 了 方便 管理 、 访 问 权 限 相同 的 一 系列 用 户 帐户 。 由 于 用 户 在 登录 到 计算 机 上 时 均 使 用 
用 户 帐 户 ， 所 以 每 一 个 用 户 帐户 都 有 其 登录 后 所 具有 的 权限 。 每 个 用 户 的 权限 可 以 不 同 ， 但 
可 能 某 些 用 户 帐 户 的 权限 是 相同 的 , 因此, 在 创建 这 些 用 户 时 ， 必 须 为 他 们 赋予 相同 的 权限 ， 
这 样 就 多 做 了 很 多 重复 性 的 工作 。 有 了 组 的 概念 之 后 ， 可 以 将 这 些 具有 相同 权限 的 用 户 划 归 
到 该 组 , 使 这 些 用 户 成 为 该 组 的 成 员 , 然后 通过 赋予 该 组 权限 来 使 这 些 用 户 都 具有 相同 的 
权限 。 

组 帐户 包括 所 有 具有 同样 权限 和 属性 的 用 户 帐户 。 如 果 用 户 将 某 成 员 加 入 到 一 个 组 中 
那么 该 组 所 具有 的 所 有 权力 也 将 赋予 给 该 用 户 ， 因 此 ， 赋 了 予 用 户 组 成 员 身份 是 将 公共 权力 赋 
予 给 一 组 用 户 的 简便 方法 。 

组 是 可 以 包 仿 用户、 联系 人 、 计 算 机 和 其 他 组 的 活动 目录 或 本 机 对 象 。 使 用 组 可 以 实现 
以 下 功能 。 

e 管理 用 户 和 计算 机 对 活动 目录 对 象 及 其 属性 、 网 络 共享 位 置 、 文 件 、 目 录 、 打 印 机 

列队 等 共享 资源 的 访问 。 

e 入选 器 组 策略 设置 。 

e 创建 电子 邮件 通信 组 。 


1. 组 类 型 


在 Windows Server 2003 中 包括 了 两 种 类 型 的 组 : 安全 组 和 分 发 列表 。 

e 安全 组 用 于 将 用 户 、 计 算 机 和 其 他 组 收集 到 可 管理 的 单位 中 。 为 资源 (文件 共享 、 
打印 机 等 等 ) 指 派 权 限时 ， 管 理 员 应 将 那些 权限 指派 给 安全 组 而 非 个 别 用 户 。 权 限 可 
一 次 分 配给 该 组 ， 而 不 是 多 次 分 配给 单独 的 用 户 。 添 加 到 组 的 每 个 帐户 接受 为 该 组 
定义 的 权力 和 权限 。 使 用 组 可 简化 网 络 的 维护 和 管理 。 

e 分 发 列表 : 是 在 活动 目录 中 使 用 应 用 程序 的 用 户 集合 。 使 用 分 发 列表 的 应 用 程序 的 
常见 例子 是 Microsoft Exchange 服务 器 。 系统 管理 员 保 持 分 发 列表 是 为 了 在 有 问题 时 
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通知 用 户 ， 分 发 列表 还 可 以 用 于 发 送 错误 报告 。 分 发 列表 只 能 用 于 非 安全 的 目的 ， 
不 能 够 用 于 为 网 络 资源 授权 。 


2. 组 作用 域 


在 Windows Server 2003 中 定义 组 时 , 系统 管理 员 还 可 以 控制 组 的 作用 域 。 可 以 把 组 的 使 
用 限制 到 本 地 域 控制 器 ， 或 者 可 以 使 它 用 于 域 中 的 其 他 服务 器 或 整个 网 络 。 这 3 种 类 型 的 组 
是 : 域 本 地 组 、 全 局 组 和 通用 组 。 
e 域 本 地 组 :在 管理 用 户 的 权限 时 ， 管 理 员 应 充分 利用 系统 提供 的 本 地 组 机 制 ， 因 为 
本 地 组 对 于 管理 员 在 管理 工作 组 安全 机 制 方面 起 着 十 分 重要 的 作用 。 这 些 本 地 组 都 
被 预先 赋予 了 一 些 有 用 的 权限 ， 这 些 权限 自动 地 应 用 于 添加 到 该 组 中 的 每 个 用 户 帐 
户 。 在 Windows Server 2003 中 ， 系 统 提供 了 多 种 内 置 的 域 本 地 组 和 全 局 组 ， 使 系统 
管理 员 对 用 户 的 管理 变 得 非常 方便 ， 如 系统 提供 的 常用 内 置 本 地 组 Administrators、 
Backup Operators、Power Users、Guests 和 Replicator 等 都 有 自己 的 一 组 权限 和 内 置 
功能 。 当 然 ， 系 统管 理 员 也 可 以 自己 创建 用 户 组 ， 以 满足 多 方面 管理 的 需要 。 在 系 
统 提供 的 常用 组 中 ，Administrators 组 是 Windows Server 2003 中 功能 最 强 的 组 ， 它 
对 系统 中 的 所 有 权限 和 能 力 有 完全 的 控制 权 ， 该 组 中 的 成 员 都 是 系统 的 管理 员 。 
Backup Operators 组 中 的 成 员 可 备份 和 还 原 系统 中 的 文件 和 目录 , 它 的 权限 包括 在 本 
机 上 登录 、 关 闭 系 统 ， 以 及 备份 和 还 原 系统 中 文件 和 目录 等 。Power Users 组 是 有 一 
些 管理 能 力 和 权限 的 组 ， 它 的 权限 有 在 本 机 登录 、 从 网 络 上 访问 本 机 、 改 变 系统 时 
间 和 关闭 系统 等 。 它 的 能 力 包括 锁定 计算 机 、 共 享有 目录 和 打印 机 、 停 止 目录 和 打印 
机 的 共享 以 及 管理 创建 的 任何 用 户 帐 户 和 本 地 组 。Guests 组 是 一 个 权限 有 限 的 组 ， 
它 的 成 员 只 能 在 网 络 上 访问 本 机 系统 ， 该 组 中 的 成 员 没有 能 力 。Replicator 组 允许 成 
员 只 登录 到 其 他 计算 机 上 的 Replicator 服务 ， 进 行 主要 文件 和 目录 的 复制 。 
e 全 局 组 : 全 局 组 是 可 以 被 域内 任何 服务 器 用 来 设置 访问 权限 的 帐户 集合 。 全 局 组 的 
特性 包括 有 限 的 成 员 身份 、 访 问 任何 域内 的 资源 等 ， 也 就 是 说 ， 全 局 组 只 能 够 从 创 
建 的 域内 获得 帐户 ， 但 可 以 被 分 配 权 限 以 获得 对 任何 域内 资源 的 访问 权限 。 
e 通用 组 : 通用 组 是 网 络 上 任何 服务 器 都 可 以 访问 的 ， 通 常用 于 跨 域 分 配 权 限 ， 它 的 
特性 包括 可 以 打开 成 员 身份 、 访 问 任何 域内 的 资源 ， 也 就 是 说 ， 系 统管 理 员 可 以 从 
任何 域 添加 任意 用 户 帐户 到 通用 组 ， 还 可 以 使 用 通用 组 来 分 配 权限 到 任意 域内 的 任 
何 资源 。 
组 作用 域 还 定义 了 组 的 成 员 身 份 规则 ， 这 个 成 员 身份 规则 又 定义 了 可 以 被 放置 在 组 内 的 
帐户 类 型 。 


用 户 在 使 用 通用 组 之 前 ， 必 须 把 域 转换 成 为 本 机 的 Windows Server 2003 域 。 
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5.2.2 ”组织 单元 的 基本 概念 


虽然 组 和 组 织 单元 都 是 用 来 管理 用 户 和 计算 机 的 ， 但 是 它们 不 论 是 在 功能 上 还 是 在 概念 
上 都 有 很 大 的 区 别 。 

在 Windows Server 2003 系统 中 , 活动 目录 服务 把 域 详 细 地 划分 成 组 织 单元 (Organizational 
Unit， 简 称 OU)。 组 织 单元 是 一 个 逻辑 单位 ， 它 是 域 中 一 些 用 户 、 计 算 机 和 组 、 文 件 与 打印 
de 组 织 单元 中 还 可 以 再 划分 下 级 组 织 单 元 。 组 织 单元 具有 继承 性 ， 子 单元 能 

父 单元 的 访问 许可 权 。 每 一 个 组 织 单元 可 以 有 自己 单独 的 管理 员 并 指定 其 管理 权限 ， 它 
ae 从 而 实现 了 对 资源 和 用 户 的 分 级 管理 。 组 织 单元 的 应 用 ， 使 Windows 
Server 2003 网 络 的 拓展 功能 大 大 加 强 ， 不 仅 方便 了 对 网 络 资源 的 管理 ， 更 重要 的 是 方便 了 管 
理 员 对 大 宗 用 户 的 管理 。 


组 策略 对 象 可 应 用 于 站 点 、 域 或 组 织 单位 ， 但 不 能 应 用 于 组 。 组 策略 对 象 是 作 
用 于 用 户 或 计算 机 的 设置 集 。 组 成 员 关系 用 于 筛选 哪个 组 策略 对 象 将 作用 于 站 点 、 
域 或 组 织 单位 中 的 用 户 和 计算 机 。 


5.2.3 创建 新 组 


使 用 系统 内 置 组 可 能 无 法 满足 安全 和 灵活 性 的 需要 ， 系 统管 理 员 可 以 通过 创建 新 的 组 来 
解决 这 个 问题 。 新 组 创建 之 后 ， 就 可 以 像 使 用 内 置 组 一 样 进行 组 成 员 的 添加 和 管理 。 
1. 创建 新 组 


系统 管理 员 确 定 需要 创建 哪 一 种 类 型 的 新 组 之 后 即 可 开始 创建 新 组 ， 有 具体 操作 步骤 如 下 。 

(1) 单 击 “ 开 始 ” 菜 单 ， 选 择 “管理 工具 ”|“Active Directory 用 户 和 计算 机 ”命令 ， 打 
开 “Active Directory 用 户 和 计算 机 ”控制 台 窗 口 ， 在 Users 节点 单 击 鼠 标 右键 ， 在 弹出 的 快 
捷 菜 单 中 选择 “新 建 ”| Group 命令 ， 如 图 5-22 所 示 。 

(2) 在 打开 的 “新 建 对 象 -Group” 对 话 框 中 ， 在 “组 名 ”文本 框 中 输入 需要 创建 的 组 名 ， 
并 在 “组 名 (Windows 2000 以 前 版 本 )” 文 本 框 中 输入 新 组 的 下 层 名 称 (也 可 以 使 用 默认 名 称 )。 
在 “组 作用 域 ”选项 区 域 中 ， 通 过 选中 单 选 按钮 来 选择 组 的 应 用 领域 ， 即 确定 新 建 的 用 户 组 
是 本 地 组 还 是 全 局 组 。 在 “组 类 型 ”选项 区 域 中 ， 通 过 选中 单 选 按钮 来 选择 新 组 的 类 型 。 用 
户 组 有 两 种 类 型 :安全 组 和 分 布 组 。 组 的 类 型 决定 了 组 的 使 用 方式 ， 使 用 安全 组 可 以 指定 资 
源 的 访问 权限 ， 同 时 安全 组 还 具有 分 布 组 的 所 有 功能 。 当 组 所 具有 的 功能 与 安全 无 关 时 可 以 
使 用 分 布 组 ， 如 图 5-23 所 示 。 
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图 5-22 创建 新 组 图 5-23 “新 建 对 象 -Group” 对 话 框 


(3) 单 击 “ 确 定 ” 按 钮 即 可 完成 组 对 象 的 创建 。 
2. 添加 组 成 员 


系统 管理 员 或 用 户 创建 新 组 之 后 ， 可 以 向 组 中 添加 成 员 ， 以 便 进行 管理 ， 如 赋予 组 中 所 
有 成 员 某 个 权限 。 

为 本 地 组 添加 新 用 户 的 具体 操作 步骤 如 下 。 

(1) 在 “Active Directory 用 户 和 计算 机 ”控制 台 窗口 的 帐户 列表 中 ， 在 需要 添加 组 成 员 
的 组 名 称 上 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 “ 属 性 ”对 话 框 。 
单 击 打开 “成 员 ” 选 项 卡 ， 如 图 5-24 所 示 。 

(2) 在 “成 员 ” 选 项 卡 中 单 击 “ 添 加 ”按钮 ， 系 统 将 打开 “选择 用 户 、 联 系 人 或 计算 机 ” 
对 话 框 ， 如 图 5-25 所 示 。 
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图 5-24 “成 员 ” 选 项 卡 5-25 “选择 用 户 、 联 系 人 或 计算 机 ”对 话 杠 


在 该 对 话 框 中 ， 可 以 在 “输入 对 象 名 称 来 选择 ”文本 框 中 输入 需要 添加 的 用 户 名 称 ， 也 
可 以 单 击 “ 高 级 ”按钮 打开 查找 用 户 对 话 框 ， 从 查找 到 的 成 员 列 表 中 选择 需要 添加 的 用 户 ， 
如 图 5-26 所 示 。 
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图 5-26 查找 用 户 对 话 框 


(3) 在 “选择 用 户 、 联 系 人 或 计算 机 ”对 话 框 中 会 列 出 用 户 需要 添加 的 用 户 。 如 果 用 户 
希望 添加 多 个 组 和 成 员 ， 可 重复 本 次 操作 。 

(4) 最 后 单 击 “ 确 定 ”按钮 关闭 “选择 用 户 、 联 系 人 或 计算 机 ”对 话 框 。 在 打开 的 “成 
员 ” 选 项 卡 中 将 显示 刚 添加 的 用 户 ， 单 击 “ 确 定 ” 按 钮 关闭 “属性 ”对 话 框 ， 即 可 完成 添加 
组 成 员 的 操作 。 


5.2.4 ”删除 域 用户 组 


对 于 长 期 不 使 用 的 组 或 者 是 不 符合 网 络 安全 的 组 ， 系 统管 理 员 可 以 将 其 删除 。 但 是 ， 管 
理 员 只 能 删除 自己 创建 的 组 ， 而 不 能 删除 由 系统 提供 的 内 置 组 。 当 不 再 需要 使 用 某 个 组 时 ， 
最 好 删除 它们 ， 这 样 做 有 助 于 维护 安全 性 ， 避 免 无 意 中 授权 不 再 需要 的 组 去 访问 资源 。 

在 删除 组 时 ， 只 是 删除 了 这 个 组 并 清除 和 它 相关 联 的 许可 和 权限 ， 并 不 会 删除 这 个 组 的 
成 员 的 用 户 帐户 。 在 Windows Server 2003 中 , 每 个 组 都 具有 唯一 的 、 不 能 重用 的 安全 标识 符 
(SID)， 因 此 像 删除 用 户 一 样 ，Windows Server 2003 将 不 再 使 用 那个 组 的 SID， 并 且 不 能 用 重 
新 创建 同一 个 组 的 办 法 来 恢复 权限 。 

要 删除 组 ， 可 在 “Active Directory 用 户 和 计算 机 ”控制 台 窗口 中 选择 需要 删除 的 组 ， 选 
择 “ 操 作 ”| “删除 组 ”命令 ， 系 统 将 会 弹出 “Active Directory 服务 ”对 话 框 。 如 果 确 定 要 删 
除 该 组 ， 单 击 “ 是 ”按钮 即 可 完成 操作 。 


5.2.5 设置 组 权限 


创建 新 组 之 后 ， 首 先 要 进行 的 工作 就 是 设置 组 的 权限 。 在 Windows Server 2003 中 , 为 新 
组 设置 组 权限 是 通过 添加 系统 内 置 组 和 预定 义 组 来 完成 的 。 因 为 新 组 可 以 继承 内 置 组 和 预定 
义 组 的 权限 设置 ， 并 将 它们 的 权限 赋予 自己 的 组 成 员 。 
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设置 组 权限 的 具体 步骤 如 下 。 

(1) 单 击 “ 开 始 ” 菜 单 ， 选 择 “ 管 理工 具 ”|“Active Directory 用 户 和 计算 机 ”命令 ， 打 
开 “Active Directory 用 户 和 计算 机 ”控制 台 窗口 ， 展 开 Users 节点 ， 在 帐户 列表 中 需要 设置 
权限 的 组 上 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 该 组 的 “属性 ”对 
话 框 ， 选 择 “隶属 于 ”选项 卡 ， 如 图 5-27 所 示 。 
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由衣 只 各 未 米 自 当前 城 和 举凡 在 “ 主 局 奖 录 ” 印 措 ， 如 用 组 。 


5-27 ”设置 组 权限 


(2) 在 “隶属 于 ”选项 卡 中 ， 单 击 “ 添 加 ”按钮 ， 打 开 “ 选 择 组 ”对 话 框 ， 选 择 可 继承 
权限 的 内 置 组 和 预定 义 组 并 进行 添加 。 

(3) 选择 好 可 继承 权限 的 内 置 组 和 预定 义 组 之 后 ， 单 击 “ 确 定 ” 按 钮 关闭 属性 对 话 框 即 
可 完成 操作 。 


5.2.6 更 换 组 作用 域 


每 个 安全 组 和 分 布 组 均 具有 作用 域 ， 该 作用 域 标识 组 在 域 树 或 树林 中 所 应 用 的 范围 。 有 
通用 作用 域 的 组 可 将 其 成 员 作为 来 自 域 树 或 树林 中 任何 Windows Server 2003 域 的 组 和 帐户 ， 
并 且 在 域 树 或 域 林 的 任何 域 中 都 可 获得 权限 。 有 通用 作用 域 的 组 称 为 通用 组 。 有 全 局 作用 域 
的 组 可 将 其 成 员 作为 仅 来 自 组 所 定义 的 域 的 组 和 帐户 , 并 且 在 域 林 的 任何 域 中 都 可 获得 权限 。 
有 全 局 作用 域 的 组 称 作 全 局 组 。 

有 具有 本 地 作用 域 的 组 可 将 其 成 员 作为 来 自 Windows Server 2003 域 的 组 和 帐户 ,并 且 可 用 
于 仅 在 域 中 授予 权限 。 具有 本 地 作用 域 的 组 称 作 域 本 地 组 。 如 果 具 有 多 个 域 林 , 仅 在 一 个 域 
林 中 定义 的 用 户 不 能 放 入 在 男 一 个 域 林 中 定义 的 组 ， 并 且 仅 在 一 个 域 林 中 定义 的 组 不 能 指派 
另 一 个 域 林 中 的 权限 。 

创建 新 组 时 , 在 默认 情况 下 新 组 配置 为 具有 全 局 作用 域 的 安全 组 , 而 与 当前 域 模式 无 关 。 


虽然 不 允许 在 混合 模式 域 中 更 改组 作用 域 ， 但 是 在 本 机 模式 域 中 允许 进行 下 列 转换 。 
e 全 局 至 通用 : 在 组 不 是 另 一 个 有 全 局 作用 域 的 组 的 成 员 时 才 被 允许 。 
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e 本 地 至 通用 : 被 转换 的 组 不 能 将 具有 本 地 作用 域 的 其 他 组 作为 它 的 成 员 。 

系统 管理 员 确认 了 需要 更 换 作 用 域 的 组 之 后 ， 打 开 “Active Directory 用 户 和 计算 机 ” 控 
制 台 窗口 。 在 控制 台 目 录 树 中 需要 更 换 作 用 域 的 组 所 在 的 组 织 单元 或 容器 单 击 鼠标 右键 ， 然 
后 选择 “属性 ”命令 打开 组 的 “属性 ”对 话 框 ， 在 “常规 ”选项 卡 的 “组 作用 域 ”选项 区 域 
中 选择 “通用 ” 单 选 按钮 ， 最 后 单 击 “ 确 认 ” 按 钮 即 可 。 


5.2.7 ”添加 组 织 单元 


组 织 单位 是 目录 容器 对 象 ， 可 包含 用 户 、 组 、 计 算 机 、 打 印 机 、 共 享 文件 夹 及 其 他 组 织 
单位 ， 其 表现 为 “Active Directory 用 户 和 计算 机 ”窗口 中 的 文件 夹 形 式 。 系 统管 理 员 可 以 在 
域 中 创建 组 织 单位 的 层次 结构 。 通 常 ， 应 该 创建 能 反映 组 织 单位 的 职能 或 商务 结构 的 单位 。 
例如 ， 可 以 创建 顶级 单位 ， 如 人 事 关系 、 设 备 管理 和 营销 等 部 门 单位 ， 在 人 事 关 系 单位 中 ， 
可 以 创建 其 他 的 嵌 套 组 织 单位 ， 如 福利 和 招聘 单位 等 ; 在 招聘 单位 中 也 可 以 创建 另 一 级 的 嵌 
套 单位 ， 如 内 部 招聘 和 外 部 招聘 单位 。 总 之 ， 组 织 单位 可 使 管理 员 以 一 种 更 有 意义 且 易 于 管 
理 的 方式 来 模拟 实际 工作 的 单位 , 而 且 在 任何 一 级 指派 一 个 适当 的 本 地 权力 机 构 作为 管理 员 。 

每 个 域 都 可 实现 自己 的 组 织 单位 层次 结构 。 如 果 管 理 员 的 企业 包含 多 个 域 ， 则 可 以 独立 
于 其 他 域 中 的 结构 在 每 个 域 中 创建 组 织 单位 的 结构 。 

添加 组 织 单元 的 具体 步骤 如 下 。 

(1) 单 击 “ 开 始 ” 菜 单 ， 选 择 “管理 工具 ”|“Active Directory 用 户 和 计算 机 ”命令 ， 打 
开 “Active Directory 用 户 和 计算 机 ”控制 台 窗口 ， 在 域 节点 上 单 击 鼠标 右键 ， 在 弹出 的 快捷 
菜单 中 选择 “新 建 ”| Organizational Unit 命令 ， 如 图 5-28 所 示 。 

(2) 在 打开 的 “新 建 对 象 ”对 话 框 中 ， 在 “名 称 ” 文 本 框 中 输入 需要 创建 的 组 织 单元 名 
称 ， 然 后 单 击 “ 确 定 ” 按钮 即 可 完成 对 象 的 创建 如 图 5-29 所 示 。 
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(3) 当 域 中 的 某 个 组 织 单元 中 所 包含 的 用 户 、 计 算 机 、 联 系 人 和 组 织 单元 等 已 经 被 删除 
或 因为 其 他 原因 而 不 再 发 挥 作用 时 ， 管 理 员 可 将 其 删除 ， 以 免 影 响 对 其 他 组 织 单元 的 管理 。 
要 删除 不 再 需要 的 组 织 单元 ， 可 在 “Active Directory 用 户 和 计算 机 ”控制 台 窗 口 的 目录 树 中 
展开 域 节点 ， 然 后 在 需要 删除 的 组 织 单元 上 单 击 鼠标 右键 ,在 弹出 的 快捷 菜单 中 选择 “删除 ” 
命令 ， 系 统 打开 信息 提示 框 后 ， 单 击 其 中 的 “是 ”按钮 即 可 删除 该 组 织 单元 。 


5.2.8 设置 组 织 单元 属性 


默认 情况 下 ， 系 统管 理 员 所 添加 的 组 织 单元 都 具有 相同 的 属性 ， 因 此 ， 组 织 单元 被 添加 
之 后 ， 如 果 不 根据 需要 设置 其 属性 ， 就 很 难 发 挥 其 管理 的 方便 性 和 安全 性 。 通 过 设置 组 织 单 
元 的 属性 ， 不 但 可 以 指定 组 织 单元 的 管理 人 和 常规 属性 ， 也 可 为 组 织 单元 创建 组 策略 。 

设置 组 织 单元 属性 的 具体 操作 步骤 如 下 。 

(1) 单 击 “ 开 始 ” 菜 单 ， 选 择 “ 管 理工 具 ”|“Active Directory 用 户 和 计算 机 ”命令 ， 打 
开 “Active Directory 用 户 和 计算 机 ”控制 台 窗口 ， 在 控制 台 目录 树 中 需要 设置 属性 的 组 织 单 
元 上 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ” 命令， 打开 该 组 织 单元 的 属性 对 话 框 ， 
如 图 5-30 所 示 。 
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5-30 ”组 织 单元 的 属性 对 话 框 


(2) 在 “常规 ”选项 卡 中 ， 可 在 “描述 ”文本 框 中 为 组 织 单元 输入 一 段 描述 ， 在 “省 / 自 
治 区 ”、“ 市 /县 ”、“ 街 道 ”和 “邮政 编码 ”文本 框 中 输入 组 织 单元 所 包含 的 计算 机 和 用 户 
的 统一 通信 地 址 和 邮编 。 

(3) 在 “管理 者 ”选项 卡 中 ， 单 击 “ 和 更改” 按钮， 打开“ 选择 用 户 、 联 系 人 或 计算 机 ” 
对 话 框 ， 选 择 一 个 用 户 或 联系 人 作为 管理 者 ;管理 者 更 改 之 后 ， 单 击 “ 查 看 ”按钮 可 打开 所 
更 改 的 管理 者 的 属性 对 话 框 ， 管 理 员 可 对 管理 者 的 属性 进行 修改 ， 如 果 要 清除 管理 者 ， 单 击 
“清除 ”按钮 即 可 。 

(4) 在 “对 象 ”选项 卡 中 ， 可 以 查看 该 组 织 单元 的 对 象 规 范 名 称 、 创 建 和 修改 时 间 等 。 
在 “安全 ”选项 卡 中 ， 可 以 设置 该 组 织 单元 的 访问 权限 ， 如 图 5-31 所 示 。 
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(5) 在 “组 策略 ”选项 卡 中 ， 可 进行 该 组 织 单元 的 组 策略 的 编辑 和 修改 ,如 图 5-32 所 示 。 
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5.3 ”计算 机 帐户 管理 


在 Windows Server 2003 中 ， 加 入 到 域 中 且 运 行 Windows Server 2003 或 Windows 2000 
的 每 一 台 计算 机 均 具 有 计算 机 帐户 。 与 用 户 帐户 类 似 ， 计 算 机 帐户 提供 了 一 种 验证 和 审核 计 
算 机 访问 网 络 以 及 域 资源 的 方法 。 与 用 户 帐户 不 同 的 是 ， 连 接 到 网 络 上 的 每 一 台 计 算 机 都 只 
有 自己 的 惟一 计算 机 帐户 ， 而 用 户 可 以 拥有 多 个 用 户 帐 户 进行 网 络 登录 。 
另外 ,运行 Windows 98 的 计算 机 没有 Windows 2003 和 Windows 2000 的 高 级 安全 特性 ， 
不 能 在 Windows Server 2003 域 中 指派 计算 机 帐户 。 但 是 , 用 户 和 管理 员 可 以 登录 到 网 络 并 使 
用 域 中 运行 Windows 98 的 计算 机 。 


5.3.1 创建 计算 机 帐户 


当 有 新 的 运行 Windows Server 2003 或 Windows 2000 的 客户 计算 机 要 加 入 到 域 中 时 , 管 
理 员 应 在 域 控制 器 中 为 其 创建 一 个 计算 机 帐户 ， 以 便 它 有 资格 成 为 域 成 员 。 

创建 新 的 计算 机 帐户 的 具体 步骤 如 下 。 

(1) 单 击 “ 开 始 ” 菜 单 ， 选 择 “ 管 理工 具 ”|“Active Directory 用 户 和 计算 机 ”命令 ， 打 
开 “Active Directory 用 户 和 计算 机 ”控制 台 窗 口 ， 在 控制 台 目 录 树 中 需要 添加 计算 机 的 组 织 
单元 或 容器 上 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 ”|Computer 命令 ， 打 开 “ 新 建 
对 象 -Computer” 对 话 框 ， 如 图 5-33 所 示 。 

(2) 在 “计算 机 名 ”文本 框 中 输入 需要 创建 的 计算 机 名 。 如 果 网 络 中 有 Windows 2000 以 
前 版 本 的 系统 ， 应 在 “计算 机 名 (Windows 2000 以 前 版 本 )” 文 本 框 中 输入 用 于 旧 系 统 识别 的 
名 称 。 在 对 话 框 中 选择 可 以 将 此 计算 机 加 入 到 域 的 用 户 或 组 ， 可 以 使 用 系统 默认 的 域 管理 员 
组 ， 也 可 以 单 击 “ 更 改 ” 按 钮 ， 在 “选择 用 户 或 组 ”对 话 框 中 自行 选择 。 同 时 也 可 以 选择 是 
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否 把 该 计算 机 帐户 分 配 为 Windows 2000 以 前 版 本 的 计算 机 或 把 该 计算 机 帐户 分 配 为 备份 域 
控制 器 ， 选 中 选项 左 侧 的 复 选 框 即 可 。 

(3) 单 击 “下 一 步 ”按钮 ， 在 打开 的 “管理 ”对 话 框 中 选择 是 否 为 所 管理 的 计算 机 创建 
帐户 。 如 果 需 要 创建 帐户 ， 则 必须 选中 “这 是 一 台 被 管理 的 计算 机 ” 复 选 框 ， 同 时 在 文本 框 
中 输入 该 计算 机 完整 的 惟一 DD， 如 图 5-34 所 示 。 
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图 5-33 ”新建 计算 机 帐户 图 5-34 “管理 ”对 话 框 
(4) 最 后 单 击 “确定” 按钮 即 可 完成 新 的 计算 机 帐户 的 创建 。 
5.3.2 ”把 计算 机 帐户 添加 到 组 


为 便于 系统 管理 员 对 众多 的 计算 机 帐户 进行 管理 ，Windows Server 2003 继续 沿用 了 
Windows 2000 系统 中 的 组 策略 ， 通 过 将 不 同 的 计算 机 添加 到 具有 不 同 权限 的 组 中 的 方式 , 使 
该 计算 机 继承 所 在 组 的 所 有 权限 。 同 时 ， 系 统管 理 员 也 可 以 直接 通过 组 来 对 多 个 计算 机 帐户 
进行 管理 ， 这 样 大 大 减轻 了 系统 管理 员 的 对 计算 机 帐户 的 管理 工作 。 

把 计算 机 帐户 添加 到 组 中 的 具体 操作 步骤 如 下 。 

(1) 单 击 “ 开 始 ” 菜 单 ， 选 择 “管理 工具 ”|“Active Directory 用 户 和 计算 机 ”命令 ， 打 
开 “Active Directory 用 户 和 计算 机 ”控制 台 窗口 ， 在 控制 台 目 录 树 中 单 击 要 加 入 组 的 计算 机 
所 在 的 组 织 单元 或 容器 ， 使 详细 资料 窗 格 中 显示 出 相应 的 内 容 。 在 详细 资料 窗 格 中 ， 在 需要 
加 入 组 的 计算 机 帐户 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 该 计算 机 
的 属性 对 话 框 ， 如 图 5-35 所 示 。 

(2) 在 计算 机 属性 对 话 框 中 选择 “隶属 于 ”选项 卡 ， 单 击 “ 添 加 ”按钮 ， 打 开 “ 选 择 组 ” 
对 话 框 ， 选 择 要 加 入 的 组 ， 然 后 单 击 “确定 ”按钮 完成 添加 即 可 ， 如 图 5-36 所 示 。 


在 “隶属 于 ”选项 卡 中 ， 如 果 要 删除 一 个 组 或 为 计算 机 帐户 设置 主要 组 ， 可 通过 
“删除 ”和 “设置 主要 组 ”按钮 来 完成 。 
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5.3.3 ”管理 客户 计算 机 


在 Windows Server 2003 网 络 中 ,通过 域 控制 器 , 系统 管理 员 可 管理 网 络 中 的 客户 计算 机 。 
Windows Server 2003 的 这 项 网 络 功能 大 大 加 强 了 网 络 管理 员 对 网 络 的 管理 和 维护 , 特别 是 方 
便 了 管理 员 对 客户 计算 机 的 直接 管理 。 但 是 ， 管 理 员 所 管理 的 计算 机 运行 的 系统 必须 是 
Windows Server 2003 或 Windows 2000 系统 ， 安 装 Windows 95/98 或 者 其 他 系统 的 计算 机 不 
能 被 管理 。 

管理 客户 计算 机 的 具体 步骤 如 下 。 

(1) 单 击 “ 开 始 ” 菜 单 ， 选 择 “管理 工具 ”|“Active Directory 用 户 和 计算 机 ”命令 ， 打 
开 “Active Directory 用 户 和 计算 机 ”控制 台 窗 口 ， 在 控制 台 目 录 树 中 单 击 要 加 入 组 的 计算 机 
所 在 的 组 织 单元 或 容器 ， 使 右边 的 窗 格 中 列 出 相应 的 详细 资料 内 容 。 在 详细 资料 窗 格 中 ， 在 
需要 管理 的 计算 机 帐户 上 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “管理 ”命令 ,打开 该 计 
算 机 帐户 的 “计算 机 管理 ”窗口 ， 如 图 5-37 所 示 。 
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图 5-37 “计算 机 管理 ”窗口 


(2) 在 “计算 机 管理 ”窗口 中 ， 管 理 员 可 以 对 连接 的 计算 机 进行 系统 工具 、 存 储 、 服 务 


器 应 用 程序 和 服务 等 各 个 方面 的 管理 。 管 理工 作 处 理 完毕 ， 关 闭 计算 机 管理 窗口 即 可 。 
5.3.4 查找 计算 机 


Windows Server 2003 中 活动 目录 功能 的 加 强 ， 使 系统 管理 员 对 网 络 上 的 用 户 、 计 算 机 、 
联系 人 、 组 、 组 织 单元 及 网 络 资源 等 的 查找 变 得 更 加 方便 。 管 理 员 执行 这 些 查 找 功能 ， 主 要 
是 通过 “查找 用 户 、 联 系 人 及 组 ”窗口 来 实现 的 。 如 果 管 理 员 要 管理 某 个 计算 机 ， 但 又 不 知 
道 其 具体 位 置 ， 可 使 用 “查找 用 户 、 联 系 人 及 组 ”窗口 来 进行 查找 ， 具 体操 作 步骤 如 下 。 

(1) 单 击 “ 开 始 ” 菜 单 ， 选 择 “ 管 理工 具 ”|“Active Directory 用 户 和 计算 机 ”命令 ， 打 
开 “Active Directory 用 户 和 计算 机 ”控制 台 窗口 ， 在 控制 台 目 录 树 中 的 域 节点 上 单 击 鼠 标 右 
键 ， 在 弹出 的 快捷 菜单 中 选择 “查找 ”命令 ,打开 “查找 用 户 、 联 系 人 及 组 ”对 话 框 ， 如 
图 5-38 所 示 。 
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图 5-38 “查找 用 户 、 联 系 人 及 组 ”对 话 框 


(2) 在 “查找 ”下 拉 列 表 中 选择 “计算 机 ”选项 ， 在 “范围 ”下 拉 列 表 中 选择 查找 范围 ， 
在 “用 户 、 联 系 人 及 组 ”和 “高 级 ”选项 卡 中 设置 查找 条 件 。 例 如 ， 可 以 在 “用 户 、 联 系 人 
及 组 ”选项 卡 中 输入 要 查找 的 计算 机 名 称 ， 在 “高 级 ”选项 卡 中 设置 高 级 查找 条 件 。 

(3) 查询 条 件 设 置 完 毕 ， 单 击 “ 开 始 查 找 ” 按 钮 即 可 开始 查找 ， 系 统 会 将 查找 结果 列 出 
来 ， 如 图 5-39 所 示 。 
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5-39 ”显示 查找 的 结果 


(4) 查找 完毕 ， 单 击 “ 关 闭 ” 按 钮 关闭 窗口 即 可 。 
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组 条 胶管 理 


组 策略 通常 是 系统 管理 员 为 加 强 整个 域 或 网 络 共 同 的 策略 而 设置 
并 进行 管理 的 。 组 策略 会 影响 到 用 户 帐户 、 组 、 计 算 机 和 组 织 单元 ， 
它 是 存储 在 活动 目录 中 的 配置 。 

通过 使 用 组 策略 ， 可 以 利用 其 广泛 的 特性 ， 包 括 从 安全 锁定 桌面 
到 应 用 程序 分 发 ， 从 脚本 处 理 到 文件 和 文件 夹 复制 。 这 个 特性 集 能 够 
用 于 帮助 对 其 桌面 需要 最 小 控制 的 用 户 ， 还 可 以 帮助 登录 到 网 络 进行 
系统 管理 的 系统 管理 员 。 
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6.1 组 策略 概述 


组 策略 是 配置 用 户 桌面 的 一 种 方法 ， 系 统管 理 员 可 以 把 它 应 用 于 一 个 或 多 个 活动 目录 对 
象 。 组 策略 包含 管理 一 个 对 象 及 其 对 象 行为 的 设置 ， 组 策略 管理 员 可 以 通过 组 策略 为 用 户 提 
供 完全 通用 的 桌面 配置 ， 如 定制 的 “开始 ”菜单 项 、 自 动 发 送 到 My Documents 文件 夹 的 文 
件 、 用 户 帐号 和 组 的 权限 设置 等 。 


6.1.1 组 策略 简介 


通过 组 策略 可 以 定义 控制 用 户 配 置 的 规则 ， 操 作 系统 自动 且 周 期 性 地 实行 这 些 规则 。 
Windows Server 2003 中 的 组 策略 一 般 包 含 以 下 设置 。 

e 应 用 程序 配置 组 策略 : 分 配 和 发 布 哪些 用 户 能 够 访问 的 应 用 程序 ， 可 以 通过 两 种 方 

法 使 应 用 程序 的 安装 自动 化 。 通 过 应 用 程序 分 配 ， 组 策略 管理 员 可 以 在 客户 计算 机 
上 安装 或 更 新 应 用 程序 ， 或 提供 一 个 用 户 不 能 删除 的 指向 应 用 程序 的 连接 。 通 过 应 
用 程序 发 布 ， 组 策略 管理 员 在 Active Directory 上 发 布 应 用 程序 ， 然 后 应 用 程序 就 会 
出 现在 组 件 列表 中 ， 用 户 可 以 通过 “控制 面板 ”窗口 中 的 “添加 /删除 程序 ”命令 
来 安装 或 定制 这 些 程序 。 

e 文件 配置 组 策略 :组 策略 管理 员 把 文件 放置 在 客户 机 的 特殊 文件 夹 中 。 例 如 ，“ 开 
始 ”菜单 或 桌面 上 。 

。 脚本 组 策略 : 在 特定 时 间 内 执行 脚本 或 批 处 理 文件 的 设置 。 例 如 ， 桌 面 外 观 、 应 用 
程序 设置 等 。 

e 安全 组 策略 : 设置 用 户 对 文件 夹 和 文件 的 使 用 及 控制 用 户 权 限 ， 即 建立 本 地 计算 机 、 
域 及 网 络 安全 设置 。 

组 策略 是 配置 的 集合 ， 可 以 把 它 应 用 到 活动 目录 中 的 一 个 或 多 个 对 象 上 ， 这 些 设置 包含 
在 组 策略 对 象 (Group Policy Object， 简 称 GPO) 内 。GPO 在 两 个 位 置 存储 Group Policy 信息 : 
Group Policy Container 和 Group Policy Template。 用 组 策略 来 管理 整个 系统 ， 具 有 以 下 优点 。 

e 创建 可 以 管理 的 桌面 配置 ， 使 之 适合 用 户 工作 职责 和 经 验 水 平 。 

e ”对 特定 用 户 实现 组 策略 设置 ， 结 合 NTFS 文件 系统 的 权限 和 系统 的 其 他 特性 ， 可 以 
防止 用 户 访问 未 授权 的 程序 和 数据 ， 还 可 以 防止 用 户 删 除 影响 应 用 程序 或 操作 系统 
正常 发 挥 作 用 的 重要 文件 。 

e， 可 以 增强 用 户 的 配置 和 安全 性 。 

e ” 当 用 户 登录 、 退 出 及 计算 机 启动 时 自动 执行 任务 和 程序 。 


6.1.2 组 策略 结构 


了 解 组 策略 的 结构 及 其 能 够 执行 的 功能 是 很 重要 的 。 为 了 应 用 组 策略 到 用 户 或 计算 机 ， 


必须 指定 组 策略 的 使 用 方式 ， 例 如 ， 应 用 组 策略 时 存在 两 种 配置 选项 : 计算 机 配置 和 用 户 配 


置 ， 如 图 6-1 所 示 。 


图 6-1 “组 策略 ”控制 台 窗口 
1. 组 策略 配置 类 型 


虽然 每 种 配置 类 型 都 包含 类 似 的 选项 ， 但 在 实施 时 是 应 用 在 不 同 的 方面 。 这 些 组 策略 类 
型 能 够 从 “组 策略 ”管理 控制 台 管理 单元 或 活动 目录 管理 控制 台 管理 单元 进行 管理 。 

。 计算 机 配置 

计算 机 配置 设置 用 于 管理 控制 计算 机 特定 项 目的 策略 。 这 些 项 目 包括 桌面 外 观 、 安 全 设 
置 、 操 作 系统 运行 、 文 件 部 署 、 应 用 程序 分 配 和 计算 机 启动 及 其 关机 脚本 的 执行 。 该 可 选 的 
配置 选项 是 设计 用 来 与 访问 这 个 特定 计算 机 的 用 户 一 起 使 用 的 。 当 操作 系统 启动 时 ， 就 会 应 


用 计算 机 配置 组 策略 。 
。 用 户 配 置 


用 户 配置 设置 是 用 于 管理 控制 更 多 用 户 特定 项 目的 管理 策略 。 这 些 项 目 中 包括 应 用 程序 
配置 、 桌 面 特 性 、 分 配 和 发 行 的 应 用 程序 、 安 全 配置 及 登录 及 注销 的 用 户 脚本 。 每 当 用 户 登 


录 到 计算 机 时 ， 就 会 应 用 用 户 配置 组 策略 。 
。 配置 子 文件 夹 


在 图 6-1 所 示 中 ,在 “计算 机 配置 ”和 “用 户 配置 ”节点 下 有 3 个 不 同 的 子 文件 夹 存 在 。 
虽然 这 些 子 文件 夹 都 很 相似 ， 但 每 个 设置 应 用 的 方法 是 由 配置 类 型 决定 的 ， 是 有 差异 的 。 子 


文件 夹 中 默认 包括 软件 设置 、Windows 设置 和 管理 模板 。 
。 软件 设置 


软件 设置 用 于 管理 软件 分 发 组 件 。 该 组 件 是 为 计算 机 和 用 户 安装 的 。 计 算 机 配置 的 软件 
设置 存储 在 “计算 机 配置 \ 软 件 设置 ”中 ， 而 用 户 配 置 的 软件 设置 存储 在 “用 户 配 置 \ 软 件 设 


置 ” 中 。“ 软 件 安装 ” 子 文件 夹 用 来 管理 应 用 程序 的 配置 。 
e@ Windows 设置 


Windows 设置 是 为 了 管理 用 户 环境 设置 。 该 设置 是 为 计算 机 和 用 户 安装 的 。 计 算 机 配置 
的 Windows 设置 是 存储 在 “计算 机 配置 \Windows 设置 '” 中， 而 用 户 配 置 的 Windows 设置 则 
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存储 在 “用 户 配 置 \Windows 设置 \” 中 。 在 计算 机 配置 的 Windows 设置 中 有 “安全 设置 ”和 
“脚本 ”两 个 子 文件 夹 。 在 用 户 配置 的 Windows 设置 中 有 5 个 子 文件 夹 ， 除 了 “安全 设置 ” 
和 “脚本 ”两 个 子 文件 夹 外 ， 还 有 “文件 夹 重 定向 ”、“ 远 程 安装 服务 ” 子 文件 夹 和 “ 正 维 
护 ” 子 文件 夹 。Windows Server 2003 还 提供 了 Intellimirro 技术 ， 通 过 该 技术 系统 可 以 提 
供 灾 难 恢 复 的 功能 特性 。 

e 管理 模板 

“管理 模板 ”部 分 包含 了 基于 注册 表 的 策略 信息 。 注 册 表 内 每 个 配置 、 计 算 机 和 用 户 都 
维持 着 自己 的 信息 。 用 户 配 置信 息 存储 在 HKEY_CURRENT_USER, 计算 机 配置 信息 存储 在 
HKEY LOCAL MACHINE 中 。 策 略 用 注册 表 存储 的 信息 包含 在 这 部 分 内 ， 包 括 操作 系统 组 
件 和 应 用 程序 。 每 个 配置 类 型 的 模板 都 存储 在 名 为 Registry.pol 的 单个 文件 中 。 

2. 组 策略 功能 类 型 


除了 组 策略 的 配置 类 型 外 ，Windows Server 2003 也 为 功能 策略 类 型 定义 了 类 别 。 每 个 类 
别 有 独 特 的 特性 集 。 

e 软件 部 署 

传统 上 软件 部 署 是 由 单独 的 系统 管理 产品 所 提供 , 如 Microsoft 系统 管理 服务 器 的 部 分 
特性 已 经 集成 在 Windows Server 2003 中 。 两 种 类 型 的 软件 部 署 可 用 于 进一步 自 定义 用 户 环 
境 : 应 用 程序 的 分 配 和 应 用 程序 的 发 行 。 

其 中 ，“ 应 用 程序 分 配 ” 把 有 限 的 软件 分 发 提供 给 桌面 。 当 计算 机 和 用 户 配 置 按 指派 安 
装 后 ， 如 果 不 修改 策略 ， 应 用 程序 安装 后 就 不 能 被 修改 和 删除 。 这 些 指派 可 以 用 来 增强 标准 
桌面 的 配置 。“ 应 用 程序 发 行 ” 用 于 提供 软件 分 发 给 用 户 或 计算 机 ， 并 人 允许 它们 选择 是 否 安 
装 。 另 外 ， 它 们 能 够 在 任何 时 候 删 除 该 应 用 程序 。 

e 软件 策略 

软件 策略 是 最 常用 的 配置 设置 。 这 些 选 项 定义 了 用 户 的 工作 环境 , 例如 ,用户 的 “开始 ” 
菜单 、 屏 幕 保护 程序 或 用 户 配置 文件 设置 等 ， 也 包括 操作 系统 组 件 和 注册 表 设 置 ， 以 进一步 
自 定 义 用 户 桌面 环境 。 

e 文件 夹 管理 

文件 夹 管理 允许 组 策略 系统 管理 员 添 加 文件 、 文 件 夹 和 快捷 方式 到 用 户 桌 面 。 例 如 ， 可 
以 根据 安全 组 成 员 身 份 ， 把 网 络 应 用 程序 提供 给 用 户 。 

e 脚本 

脚本 能 够 用 于 在 某 些 时 间 自 动 运行 批 处 理 文件 的 进程 ， 如 启动 和 关机 的 时 间 。 其 他 时 间 
变量 包括 在 登录 或 注销 时 运行 脚本 。 这 些 脚 本 是 用 于 自动 执行 重复 的 任务 ， 如 映射 到 网 络 驱 
动 器 、 映 射 网 络 打印 机 ， 或 者 启动 时 运行 可 执行 的 文件 。Windows 脚本 主机 用 于 创建 这 些 脚 
本 并 能 够 包含 其 他 技术 ， 如 VBScript 和 JScript 等 。 
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。 安全 

安全 策略 设置 用 于 定义 目录 树 、 域 、 网 络 和 本 地 计算 机 安全 配置 。 它 们 能 够 用 于 设置 帐 
户 策略 。 例 如 ， 密 码 的 最 短 和 最 长 使 用 期 、 网 络 安全 策略 和 帐户 锁定 策略 等 。 这 些 安全 策略 
用 于 在 单位 内 提供 更 安全 的 计算 机 环境 。 


3. 组 策略 对 象 


组 策略 对 象 (Group Policy Object， 简 称 GPO) 用 于 存储 组 策略 配置 信息 。 一 旦 创建 了 组 策 
略 配置 设置 ， 就 会 被 存储 在 GPO 并 应 用 于 站 点 、 域 或 组 织 单位 。 另 外 ， 还 可 以 把 多 个 组 策 
略 对 象 应 用 于 单个 站 点 、 域 或 组 织 单位 。 

组 策略 对 象 被 存储 在 多 个 表单 中 。 首 先 ， 组 策略 对 象 属性 被 存储 在 组 策略 容器 (GPC) 的 
Active Directory 中 ; 另外 ， 组 策略 对 象 信息 存储 在 位 于 域 控制 器 的 文件 夹 中 。 这 些 信息 集 被 
称 为 组 策略 模板 (GPT)。 一 般 情况 下 ，“ 组 策略 容器 ”用 于 存储 小 的 经 常 修改 的 GPO 信息 ， 
而 “组 策略 模板 ” 则 存储 大 型 的 并 且 经 常 修改 的 信息 。 


4. 组 策略 容器 


组 策略 容器 (Group Policy Container, 简称 为 GPC) 是 存储 软件 部 署 信 息 的 Active Directory 
对 象 。GPC 代表 应 用 程序 信息 的 服务 器 档案 库 ， 其 中 包括 编程 界面 信息 、 软 件 发 行 和 软件 委 
派 。 另 外 ， 组 策略 容器 维持 着 存储 用 户 和 计算 机 配置 信息 的 子 容 器 。 

组 策略 容器 存储 信息 以 确定 组 策略 对 象 是 否 启用 或 禁用 , 以 及 维持 GPT 和 GPC 之 间 的 同步 。 


5. 组 策略 模板 


组 策略 模板 (Group Policy Template， 简 称 为 GPT) 是 在 每 个 域 控制 器 上 创建 的 、 用 以 存储 
组 策略 对 象 的 文件 夹子 集 。 创 建 的 文件 夹子 集 存储 在 “系统 卷 ” 文 件 夹 或 SYSVOL 中 。GPT 
包含 了 软件 配置 、 软 件 策略 、 安 全 设置 、 脚 本 和 文件 夹 管理 。 


6.2 ”组 策略 对 象 


组 策略 对 象 是 设置 组 策略 的 基础 ， 在 设置 组 策略 之 前 必须 创建 一 个 或 多 个 组 策略 对 象 ， 
然后 通过 组 策略 编辑 器 (Group Policy Editon) 设 置 所 创建 的 组 策略 对 象 。 
6.2.1 创建 组 策略 对 象 


创建 组 策略 的 第 一 步 是 创建 组 策略 对 象 ， 必 须 在 对 组 策略 进行 管理 之 前 完成 组 策略 的 创建 。 
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创建 组 策略 对 象 的 具体 步骤 如 下 。 

(1) 单 击 “ 开 始 ” 菜 单 ， 选 择 “ 管 理工 具 ”|“Active Directory 用 户 和 计算 机 ”命令 ， 打 
开 “Active Directory 用 户 和 计算 机 ”控制 台 窗 口 ， 在 需要 建立 组 策略 对 象 的 域 控制 器 下 的 
Domain Controllers 文件 夹 上 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,打开 
“Domain Controllers 属性 ”对 话 框 ， 选 择 “ 组 策略 ”选项 卡 ， 如 图 6-2 所 示 。 

在 该 选项 卡 中 有 多 个 按钮 ， 其 中 ， 单 击 “ 新 建 ”按钮 可 直接 创建 一 个 新 的 组 策略 对 象 。 
单 击 “ 选 项 ”按钮 可 打开 “选项 ”对 话 框 进行 相关 组 策略 对 象 替 代 控 制 ; 单 击 “ 删 除 ” 按 钮 
可 从 容器 中 清除 或 删除 组 策略 对 象 ， 单 击 “ 编 辑 ” 按 钮 将 打开 组 策略 对 象 编辑 器 来 编辑 策略 
对 象 ， 单 击 “ 属 性 ”按钮 可 打开 “属性 ”对 话 框 进行 属性 设置 ， 单 击 “ 向 上 ”和 “向 下 ” 按 
钮 可 以 修改 组 策略 对 象 的 优先 级 。 

(2) 在 该 选项 卡 中 单 击 “ 添 加 ”按钮 ， 打 开 “ 添 加 组 策略 对 象 链接 ”对 话 框 ， 其 中 有 “ 域 
/OUs”、“ 站 点 ”和 “全 部 ”3 个 选项 卡 。“ 域 OUs” 和 “站 点 ”指定 了 链接 到 每 个 对 象 的 
组 策略 对 象 。“ 全 部 ”选项 卡 允许 创建 和 指定 组 策略 对 象 ， 如 图 6-3 所 示 。 
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(3) 选择 “全 部 ”选项 卡 ， 单 击 工 具 栏 中 的 “创建 新 的 组 策略 对 象 ”按钮 ， 在 “存储 在 
本 域 中 的 所 有 组 策略 对 象 ”文本 框 中 将 出 现 一 个 新 的 组 策略 对 象 ， 输 入 新 组 策略 对 象 的 名 称 
后 ， 单 击 “ 确 定 ” 按 钮 即 可 ， 如 图 6-4 所 示 。 


图 64 ”新建 组 策略 


(4) 完成 新 建 组 策略 之 后 ， 返 回 “ 组 策略 ”选项 卡 ， 必 须 从 中 指定 需要 管理 的 组 策略 。 
后 面 将 会 具体 介绍 如 何 应 用 组 策略 。 


6.2.2 ”筛选 GPO 作用 域 


组 策略 对 象 中 的 策略 仅 适 用 于 对 组 策略 对 象 有 “ 读 取 ” 权 限 的 用 户 ， 可 以 得 选 组 策略 对 
象 的 范围 ， 通 过 创建 “安全 ”组 ， 然 后 给 所 选 组 分 配 “ 读 ”权限 。 

筛选 GPO 作用 域 的 具体 步骤 如 下 。 

(1) 在 “Domain Controllers 属性 ”对 话 框 的 “组 策略 ”选项 卡 中 ， 选 择 列表 中 的 组 策略 
对 象 ， 然 后 单 击 “ 属 性 ”按钮 ， 打 开 该 策略 的 属性 对 话 框 并 选择 “安全 ”选项 卡 ， 如 图 6-5 
所 示 。 

(2) 在 该 选项 卡 中 单 击 “ 添 加 ”按钮 ， 打 开 “ 选 择 用 户 、 计 算 机 或 组 ”对 话 框 ， 在 其 中 
选择 合适 的 用 户 和 组 。 然 后 在 “权限 ”列表 框 中 ， 通 过 为 用 户 选 择 合适 的 权限 来 允许 或 禁止 
组 访问 组 策略 对 象 。 也 可 以 通过 单 击 “ 高 级 ”按钮 ， 打 开 其 高 级 安全 设置 对 话 框 进行 设置 ， 
以 提供 或 终止 对 组 策略 对 象 的 访问 ， 如 图 6-6 所 示 。 


6-5 “安全 ”选项 卡 图 6-6 ”高 级 安全 设置 


(3) 筛选 完 组 策略 的 作用 域 后 ， 单 击 “ 确 定 ”按钮 即 可 。 
6.2.3 ”组 策略 继承 


组 策略 是 根据 继承 顺序 在 活动 目录 中 指派 的 。 组 策略 首先 在 站 点 应 用 ， 然 后 在 域内 应 用 ， 
最 后 在 组 织 单位 内 应 用 。 在 小 型 业务 环境 中 这 个 顺序 可 能 工作 得 很 好 ， 然 而 在 企业 环境 中 可 能 
需要 更 复杂 的 组 策略 设计 。 系 统 还 提供 进一步 自 定义 组 策略 指派 的 继承 模型 的 组 策略 的 选项 。 
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1. 继承 顺序 


当 组 策略 应 用 到 活动 目录 内 的 对 象 时 ， 在 应 用 修改 方面 就 使 用 继承 顺序 。 根 据 继 承 应 用 
的 位 置 ， 继 承 顺序 确定 什么 策略 将 发 生 影响 。 例 如 ， 当 两 个 策略 为 一 台 计 算 机 在 不 同位 置 定 
义 发 生 冲 突 时 ， 继 承 顺序 将 会 确定 什么 策略 会 发 生 影响 。 预 定义 的 顺序 建立 后 ， 还 必须 保证 
不 同 的 策略 不 会 发 生 冲 突 。 

组 策略 的 继承 顺序 从 用 户 或 计算 机 对 象 的 最 远 点 开始 应 用 。 查 看 的 第 一 个 对 象 是 站 点 对 
象 ， 应 用 的 策略 也 是 通过 “Active Directory 站 点 和 服务 ”管理 单元 进行 管理 。 一 旦 策略 加 载 
到 站 点 对 象 ， 接 着 就 是 为 域 对 象 应 用 组 策略 。 完 成 之 后 ， 在 那个 域内 分 配 的 组 策略 就 会 起 作 
用 。 如 果 在 站 点 或 域 级 别 上 应 用 的 策略 与 在 组 织 单位 设置 的 策略 发 生 了 冲突 ， 组 织 单位 的 策 
略 级 别 更 高 。 如 果 计 算 机 配置 策略 已 经 与 用 户 配 置 策略 同时 安装 ， 当 发 生 冲 突 时 用 户 策略 设 
置 就 会 覆盖 计算 机 配置 策略 。 

2. 继承 选项 


在 一 些 特殊 情况 下 ， 组 策略 的 继承 顺序 并 不 是 完全 按照 前 文 提 到 的 那样 ， 还 有 一 些 例外 
的 情况 ，“ 禾 盖 继 承 ” 和 “阻止 继承 ”是 进一步 自 定义 组 策略 的 两 项 特性 。 

。 禾 盖 继承 

由 于 组 策略 的 继承 顺序 , 低级 别 的 系统 管理 员 能 够 覆盖 较 高 级 别 上 设置 的 组 策略 。 例如， 
域 系 统管 理 员 可 以 为 所 有 用 户 在 域 级 别 中 配置 一 个 组 策略 。 按 默认 设置 ， 域 内 组 织 单位 的 系 
统管 理 员 可 以 用 他 们 自己 的 组 策略 来 覆盖 这 些 设置 。 通 过 选中 “禁止 蔡 代 ” 复 选 框 ， 就 可 以 
确保 在 域 级 别 上 定义 的 组 策略 不 会 被 组 织 单位 级 别 的 组 策略 所 取消 。 需 要 时 ， 这 个 选项 可 以 
在 单个 策略 对 象 上 设置 。 系 统管 理 员 可 以 通过 安装 审核 策略 来 监视 这 些 冲 突 。 要 设置 “ 窗 羔 
继承 ”选项 ， 可 以 在 “属性 ”对 话 框 的 “组 策略 ”选项 卡 中 单 击 “ 选 项 ”按钮 ， 打 开 “ 选 项 ” 
对 话 框 ， 选 中 “禁止 蔡 代 ” 复 选 框 即 可 ， 如 图 6-7 所 示 。 


6-7 “选项 ”对 话 框 


。 阻止 继承 

“阻止 继承 ”选项 为 系统 管理 员 在 指定 策略 方面 提供 了 其 他 控制 ， 例 如 ， 为 组 织 单位 等 
对 象 所 定义 策略 的 附加 控制 。 这 个 选项 可 以 防止 父 容器 定义 的 策略 在 自身 内 传递 。 系 统管 理 
员 可 以 通过 设置 阻止 继承 来 防止 应 用 父 策略 。 要 应 用 该 设置 ， 可 以 先 为 组 织 单位 指定 组 策略 
并 把 该 策略 标志 为 “组 织 策略 继承 ”， 这 样 就 能 防止 父 策略 被 应 用 。 要 设置 该 选项 ， 只 要 在 
“属性 ”对 话 框 的 “组 策略 ”选项 卡 中 选中 “阻止 策略 继承 ” 复 选 框 即 可 ， 如 图 6-8 所 示 。 
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如 果 使 用 履 盖 继承 安装 强制 策略 ， 阻 止 策略 继承 就 不 起 作用 了 。 


6.3 配置 组 策略 对 象 


在 创建 了 组 策略 对 象 后 ， 还 需要 对 组 策略 对 象 进行 更 完善 的 配置 ， 才 能 更 好 地 发 挥 组 策 
略 的 优势 ， 给 计算 机 和 用 户 管理 带 来 更 高 的 效率 和 更 大 的 方便 。 


6.3.1 组 策略 编辑 器 


使 用 组 策略 编辑 器 ， 可 以 为 计算 机 和 用 户 帐号 、 应 用 程序 和 文件 配置 安全 性 、 软 件 及 脚本 等 。 

要 查看 组 策略 编辑 器 ， 可 以 在 “Domain Controllers 属性 ”对 话 框 中 单 击 “ 编 辑 ” 按 钮 ， 
打开 如 图 6-9 所 示 的 “组 策略 编辑 器 ”窗口 。 安 全 设置 包括 “计算 机 配置 ”和 “用 户 配 置 ” 
节点 ， 每 个 节点 可 以 进行 扩展 。 要 想 对 各 个 策略 进行 设置 ， 可 以 单 击 该 节点 ， 然 后 在 其 打开 
的 对 话 框 中 进行 设置 即 可 。 
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图 6-9 “组 策略 编辑 器 ”窗口 
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计算 机 配置 文件 夹 中 的 设置 用 于 定制 计算 机 配置 , 或 对 网 络 上 的 计算 机 强制 执行 “锁定 ” 
策略 ， 操 作 系 统 初 始 化 时 该 设置 将 发 挥 作用 。 如 果 给 计算 机 分 配 用 户 策略 ， 用 户 策略 将 应 用 
到 登录 到 计算 机 的 每 个 用 户 。 

用 户 配 置 文件 夹 中 的 设置 用 于 定制 用 户 配 置 , 或 对 网 络 上 的 用 户 强 制 执行 “锁定 ”策略 。 
这 些 策 略 包括 所 有 针对 用 户 的 策略 ， 如 桌面 外 观 、 应 用 程序 设置 、 分 配 和 发 布 应 用 程序 等 。 
当 用 户 登录 时 ， 该 策略 发 挥 作用 。 

如 果 要 配置 特定 的 设置 ， 可 以 选 定 某 个 设置 选项 并 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 
选择 “属性 ”命令 。 在 打开 的 “属性 ”对 话 框 中 列 出 了 配置 选项 时 可 用 的 配置 参数 。 其 中 
“设置 ”选项 卡 中 显示 了 为 这 个 选项 自 定 义 的 设置 ，“ 说 明 ” 选 项 卡 提 供 了 该 选项 的 说 明 及 
其 配置 设置 ， 如 图 6-10 所 示 。 


图 6-10 策略 设置 


6.3.2 ”使 用 管理 模板 


管理 模板 是 具有 扩展 名 为 .adm 的 文件 , 并 且 用 于 标识 注册 表 的 设置 。 通过 使 用 “组 策略 ” 
管理 单元 ， 可 以 修改 注册 表 的 设置 。 在 Windows Server 2003 中 的 “管理 模板 ”中 有 两 个 位 置 
可 以 写 入 。 应 用 于 “计算 机 配置 ”的 设置 是 写 在 注册 表 的 HKEY_LOCAL MACHINE 部 分 ， 
应 用 于 “用 户 配 置 ”的 设置 是 写 在 注册 表 的 HKEY_CURRENT_USER 部 分 。 如 图 6-11 所 示 
是 在 “计算 机 配置 ”的 “管理 模板 ”中 可 用 的 选项 ， 其 中 包括 “Windows 组 件 ”、“ 系 统 ”、 
“网 络 ”等 设置 。 


图 6-11 “组 策略 编辑 器 ”窗口 


一 般 情 况 下 ， 指 派 基 于 注册 表 的 策略 意味 着 使 用 组 策略 MMC 管理 单元 ， 例 如 ， 系 统管 
理 员 可 以 通过 组 策略 来 为 域内 的 每 个 用 户 指定 配置 选项 。 下面 就 以 Windows Server 2003 用 户 
配置 密码 保护 的 屏幕 保护 程序 为 例 ， 说 明 组 策略 的 应 用 过 程 。 

通过 管理 模板 应 用 组 策略 的 具体 操作 步骤 如 下 。 

(1) 系统 管理 员 以 Administrator 身份 登录 到 服务 器 上 ， 单 击 “ 开 始 ”菜单 ， 选 择 “ 管 理 
工具 ”|“Active Directory 用 户 和 计算 机 ”命令 ,打开 “Active Directory 用 户 和 计算 机 ”控制 
台 窗 口 ， 在 需要 建立 组 策略 对 象 的 域 控制 器 下 的 Domain Controllers 文件 夹 上 单 击 鼠标 右键 ， 
在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 在 打开 的 “属性 ”对 话 框 中 选择 “组 策略 ”选项 卡 ， 
在 其 中 选择 Default Domain Controllers Policy 选项 ， 并 单 击 “编辑 ”按钮 ， 在 打开 的 “组 策略 
编辑 器 ”窗口 依次 展开 “用 户 配置 ”|“ 管 理 模板 ”|“ 控 制 面板 ”|“ 显 示 ” 节 点 ， 这 时 在 右 
边 的 窗 格 中 可 以 看 到 详细 的 选项 ， 通 过 这 些 选 项 可 以 设置 与 “显示 ”项 目 相关 的 Default 
Domain Controllers Policy， 如 图 6-12 所 示 。 
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6-12 ”应 用 组 策略 的 窗口 


(2) 在 “显示 ”项 目的 设置 选项 中 ， 选 择 “ 可 执行 的 屏幕 保护 程序 的 名 称 ” 选 项 ， 打 开 
该 选项 的 “属性 ”对 话 框 即 可 启用 域 的 组 策略 ， 如 图 6-13 所 示 。 

(3) 在 “设置 ”选项 卡 中 ， 选 中 “已 启用 ” 单 选 按钮 ， 并 在 “可 执行 的 屏幕 保护 程序 的 
名 称 ” 文 本 框 中 输入 logon.scr， 然 后 单 击 “ 确 定 ” 按 钮 ， 如 图 6-14 所 示 。 

(4) 然后 在 “显示 ”项 目的 设置 选项 中 选择 “密码 保护 屏幕 保护 程序 ”选项 ， 打 开 该 选 
项 的 “属性 ”对 话 框 ， 启 用 该 策略 。 这 样 就 启用 了 两 个 策略 ， 而 一 旦 策略 启用 之 后 ， 就 会 立 
即 起 作用 。 
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图 6-13 “可 执行 的 屏幕 保护 程序 的 名 称 属性 ”对 话 框 图 6-14 启用 策略 
6.3.3 ”使 用 脚本 


脚本 用 于 管理 用 户 环境 。Windows Server 2003 为 下 列 脚本 提供 了 支持 。 

。 计算 机 启动 

。 计算 机 关机 

e 用 户 登录 

e 用 户 注销 

系统 管理 员 在 Windows Server 2003 中 使 用 的 脚本 已 经 不 再 限于 早期 Windows 版 本 中 的 
功能 。Windows Server 2003 脚本 受 Windows 脚本 主机 的 支持 。Windows 脚本 主机 还 支持 
VBScript 和 Jscript。 

在 计算 机 网 络 初始 化 连接 之 后 ， 计 算 机 启动 脚本 开始 运行 ， 并 且 在 终止 网 络 连 接 之 前 计 
算 机 关机 脚本 开始 运行 。 因 为 计算 机 启动 脚本 或 者 关机 脚本 以 上 述 的 方法 运行 ， 那 么 管理 员 
就 必须 保证 脚本 可 以 访问 网 络 资源 。 在 计算 机 启动 脚本 运行 之 后 ， 用 户 登录 脚本 执行 ， 在 计 
算 机 关机 脚本 运行 之 后 ， 用 户 注销 脚本 执行 。 

计算 机 启动 脚本 和 计算 机 关机 脚本 都 以 本 地 计算 机 帐户 的 环境 运行 。 用 户 登录 和 用 户 注 
销 脚本 都 在 用 户 的 环境 中 运行 。 可 以 通过 在 “计算 机 配置 ”和 “用 户 配 置 ”的 “脚本 ”节点 
中 添加 脚本 来 进行 设置 。 

添加 脚本 到 组 策略 中 的 具体 操作 步骤 如 下 。 

(1) 在 “组 策略 编辑 器 ”窗口 依次 展开 “计算 机 配置 ”|“Windows 设置 ” 节点， 选择 “ 脚 
本 ”选项 ， 在 右边 的 窗 格 中 将 显示 详细 的 选项 设置 ， 如 图 6-15 所 示 。 


图 6-15 “脚本 ”的 具体 设置 选项 


(2) 在 右边 的 窗 格 的 “启动 ”选项 上 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ” 
命令 ,打开 其 “属性 ”对 话 框 ， 如 图 6-16 所 示 。 

(3) 在 “脚本 ”选项 卡 中 单 击 “ 添 加 ”按钮 ， 在 “添加 脚本 ”对 话 框 的 “脚本 名 ”和 “ 脚 
本 参数 ”文本 框 中 输入 相应 的 脚本 文件 名 ， 也 可 以 单 击 “ 浏 览 ” 按 钮 选择 脚本 文件 ， 然 后 单 
击 “ 确 定 ” 按 钮 确认 输入 即 可 ， 如 图 6-17 所 示 。 


6-16 “启动 属性 ”对 话 框 6-17 “添加 脚本 ”对 话 框 


(4) 这 样 在 “启动 属性 ”对 话 框 中 就 会 显示 出 添加 完成 后 的 脚本 文件 ， 单 击 “确定 ” 按 
钮 即 可 应 用 该 脚本 ， 如 图 6-18 所 示 。 
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6-18 ”添加 脚本 后 的 “启动 属性 ”对 话 框 
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6.3.4 文件 夹 重 定向 


用 “文件 夹 重 定向 ”可 以 把 位 于 用 户 配置 文件 的 多 个 文件 夹 重 定 向 到 其 他 位 置 ， 如 网 络 
共享 的 位 置 。 这 些 文件 夹 是 Application Data、“ 开 始 ” 菜 单 、My Documents 和 桌面 。 这 样 
如 果 管 理 员 把 用 户 的 “我 的 文档 ”文件 夹 重 定向 到 \server%username， 那 么 当 用 户 从 一 台 计 
算 机 漫游 到 另 一 台 计 算 机 时 其 “我 的 文档 ”文件 夹 仍然 可 以 使 用 ;而且 这 样 也 允许 用 户 对 文 
档 进行 备份 。 文 件 夹 重 定向 的 好 处 还 在 于 当 用 户 从 网 络 脱 机 时 ， 通 过 使 用 “ 脱 机 文件 夹 ” 用 
户 还 可 以 使 用 “我 的 文档 ”。 

使 用 “文件 夹 重 定向 ”是 从 “用 户 配置 ”节点 完成 的 ， 下 面 的 步 又 说 明了 如 何 为 用 户 重 
定向 文件 夹 。 

(1) 在 “组 策略 编辑 器 ”窗口 依次 展开 “用 户 配 置 ”|“Windows 设置 ”| “文件 夹 重 定向 ” 
节点 ， 这 时 会 在 右边 的 窗 格 中 看 到 “文件 夹 重 定向 ”的 详细 选项 设置 ， 如 图 6-19 所 示 。 

(2) 从 “文件 夹 重 定向 ”选项 中 右 击 “我 的 文档 ”选项 ， 从 弹出 的 快捷 菜单 中 选择 “ 属 
性 ”命令 ,打开 其 “属性 ”对 话 框 ， 如 图 6-20 所 示 。 
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图 6-19 “文件 夹 重 定向 ”的 详细 选项 图 6-20 “我 的 文档 属性 ”对 话 杠 


(3) 在 “我 的 文档 属性 ”对 话 框 的 “目标 ”选项 卡 中 的 “设置 ”下 拉 列 表 中 可 以 选择 “ 基 
本 -将 每 个 人 的 文件 夹 重 定向 到 同一 个 位 置 ”选项 , 然后 在 “目标 文件 夹 位 置 ” 下 拉 列 表 中 选 
择 文件 夹 的 存放 位 置 ， 如 图 6-21 所 示 。 

(4) 在 “目标 ”选项 卡 中 的 “设置 ”下 拉 列 表 框 中 还 可 以 选择 “高 级 -为 不 同 的 用 户 指定 
位 置 ” 和 “未 被 配置 ”选项 ， 然 后 再 进行 相应 的 设置 。 

(5) 在 “目标 ”选项 卡 选 择 相应 的 选项 后 ， 选 择 “设置 ”选项 卡 ， 从 中 选中 “授予 用 户 
对 我 的 文档 的 独占 权限 ” 复 选 框 。 同 时 在 “策略 删除 ”选项 区 域 中 选择 “策略 被 删除 时 ， 将 
文件 留 在 新 位 置 ” 单 选 按钮 ， 如 图 6-21 所 示 ， 这 样 在 删除 策略 时 用 户 的 文档 不 会 也 被 删除 。 
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图 6-21 “目标 ”选项 卡 图 6-22 “设置 ”选项 卡 


(6) 单 击 “ 确 定 ” 按 钮 ， 即 可 完成 为 “我 的 文档 ”的 文件 夹 重 定向 设置 了 。 


用 户 在 选择 设置 文件 夹 重 定向 的 “设置 ”选项 卡 时 ， 要 特别 慎重 。 如 果 重 定向 
策略 被 删除 时 ， 重 定向 策略 指定 文件 夹 将 重 定向 返回 本 地 用 户 配 置 文件 位 置 ， 但 是 
没有 指定 重 定向 期 间 该 内 容 会 移动 ， 则 用 户 可 能 再 也 不 能 看 见 该 文件 夹 的 内 容 了 。 
在 这 种 情况 下 ， 用 户 文件 保持 在 策略 仍然 有 效 时 指定 的 位 置 。 


6.4 组 策略 对 象 的 委派 控制 


实施 组 策略 的 一 个 重要 因素 是 组 织 单位 的 当前 管理 模型 和 组 策略 融入 该 模型 的 方法 。 在 
很 小 的 环境 中 一 个 或 两 个 系统 管理 员 就 可 以 共享 管理 每 个 人 的 组 策略 责任 ， 但 是 在 一 个 复杂 
的 庞大 的 环境 中 就 无 法 简单 的 实施 组 策略 了 。 组 策略 的 一 个 特性 就 是 把 管理 策略 的 管理 控制 
委派 给 其 他 用 户 的 能 力 。 这 个 功能 提供 了 创建 了 可 以 伸缩 的 基础 结构 ， 以 及 适合 各 个 商业 需 
要 的 能 力 。 

可 以 把 管理 任务 的 委派 分 为 3 个 单独 的 功能 ， 这 些 功能 既 可 以 共同 执行 也 可 以 互相 独立 
地 执行 。 组 策略 管理 任务 的 3 个 功能 如 下 。 

e 创建 组 策略 对 象 。 

e 修改 组 策略 对 象 。 

e 管理 到 站 点 、 域 或 组 织 单位 的 组 策略 对 象 链接 。 

要 创建 或 管理 组 策略 ， 必 须 授予 系统 管理 员 “ 读 取 ” 和 “ 写 入 ”的 权限 ， 这 些 权限 可 以 
是 明显 授予 用 户 的 ， 也 可 以 是 通过 安全 组 成 员 隐 含 授予 的 。 通 过 提供 系统 管理 员 这 种 级 别 的 
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访问 权限 ， 就 能 够 委派 管理 任务 。 
6.4.1 创建 委派 控制 的 组 策略 对 象 


要 创建 组 策略 对 象 ， 系 统管 理 员 必须 拥有 对 站 点 、 域 或 组 织 单位 的 读 取 和 写 入 权限 。 默 
认 情况 下 系统 存在 几 个 安全 组 ， 这 些 组 已 经 具有 创建 这 些 对 象 的 适当 权限 。 在 这 些 组 中 除了 
Local operating system 之 外 ， 还 包括 Domain administrators、enterprise administrators 和 Group 
policy administrators 。 要 授予 非 系统 管理 员 用 户 来 创建 组 策略 的 权限 ， 可 以 把 他 们 添加 到 
Group policy administrators 组 。 一 旦 组 策略 对 象 被 Group policy administrators 组 的 成 员 创建 ， 
这 些 成 员 就 拥有 了 该 对 象 的 创建 者 及 其 所 有 者 的 权利 ， 这 就 允许 该 组 的 成 员 可 以 修改 该 组 策 
略 对 象 。 

创建 委派 控制 的 组 策略 对 象 的 操作 步骤 可 参考 6.2.1 节 的 创建 组 策略 对 象 的 步骤 ， 只 是 
在 这 里 需要 为 创建 的 组 策略 对 象 添加 合适 的 用 户 及 其 权限 。 在 “组 策略 对 象 属性 ”对 话 框 中 
选择 “安全 ”选项 卡 ， 可 以 从 中 单 击 “添加 ”按钮 选择 适当 的 用 户 ， 如 图 6-23 所 示 。 

如 果 还 需要 对 组 策略 对 象 的 用 户 权限 进行 高 级 的 设置 , 可 以 在 “安全 ”选项 卡 中 单 击 “ 高 
级 ”按钮 ， 打 开 “ 高 级 安全 设置 ”对 话 框 来 进行 设置 ， 如 图 6-24 所 示 。 


Bo 


6-23 “安全 ”选项 卡 6-24 “高 级 安全 设置 ”对 话 框 


6.4.2 更 改组 策略 对 象 


在 创建 组 策略 对 象 时 ， 按 照 默 认 设置 组 策略 对 象 的 Domain administrators、enterprise 
administrator、operating system 和 creator owner 都 能 够 修改 它 。 另 外 ，“ 应 用 组 策略 ”访问 控 
制 项 没有 设置 ， 因 而 该 策略 将 不 影响 它们 组 内 的 这 些 用 户 ; 但 是 这 些 用 户 可 以 通过 成 为 
authenticated users 来 继承 “ 读 取 ” 和 “应 用 组 策略 ”权限 。 

打开 “Active Directory 用 户 和 计算 机 ”控制 台 窗 口 ， 右 击 要 创建 组 策略 对 象 的 域 控制 器 
下 的 Domain Controllers 文件 夹 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 , 在 打开 的 “Domain 


ER 过 组 策略 党 理 


Controllers 属性 ”对 话 框 中 选择 “组 策略 ”选项 卡 ， 从 中 选择 以 前 创建 的 “测试 的 组 策略 对 
象 ”， 并 单 击 “ 属 性 ”按钮 打开 该 策略 的 “属性 ”对 话 框 。 选 择 “ 安 全 ”选项 卡 ， 单 击 “ 添 
加 ”按钮 并 选取 要 添加 到 策略 中 的 组 。 按 照 默认 设置 ， 这 个 组 将 给 予 对 这 个 策略 的 “ 读 取 ” 
权限 ， 也 可 以 在 “权限 ”列表 框 中 选中 其 他 权限 。 如 果 有 必要 ， 也 可 以 单 击 “高 级 ”按钮 以 
进一步 自 定 义 具有 策略 对 象 的 这 个 组 的 权限 ， 如 图 6-25 所 示 。 
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图 6-25 为 组 策略 对 象 的 管理 访问 添加 新 组 
6.4.3 ”管理 链接 到 站 点 、 域 或 组 织 单位 的 组 策略 对 象 


策略 创建 和 设置 后 ， 必 须 把 它 应 用 到 对 象 以 便 发 挥 作用 。 组 策略 对 象 只 能 够 用 于 站 点 、 
域 或 组 织 单位 。 要 指定 什么 对 象 与 组 策略 对 象 相关 联 ， 必 须 设 置 到 该 站 点 、 域 或 组 织 单位 的 
链接 。 要 为 新 组 创建 管理 组 策略 对 象 链接 的 能 力 ， 需 要 使 用 Windows Server 2003 提供 的 
委派 控制 向 导 。 

下 面 是 委派 组 策略 链接 管理 的 具体 步骤 。 

(1) 在 “Active Directory 用 户 和 计算 机 ”控制 台 窗口 中 右 击 站 点 、 域 或 组 织 单位 ， 从 弹 
出 的 快捷 菜单 中 选择 “委派 控制 ”命令 ， 打 开 “ 控 制 委派 向 导 ” 首 页 ， 如 图 6-26 所 示 。 

(2) 在 “欢迎 使 用 委派 控制 向 导 ” 对 话 框 中 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 用 户 和 组 ”对 话 框 ， 
如 图 6-27 所 示 。 可 以 在 “ 选 定 的 用 户 和 组 ”列表 框 中 选 定 一 个 或 多 个 要 委派 控制 的 用 户 和 组 ， 


也 可 以 单 击 “添加 ”按钮 ， 从 “选择 用 户 、 计 算 机 和 组 ”对 话 框 中 选择 要 添加 的 用 户 和 组 。 
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图 6-26 “控制 委派 向 导 ” 首 页 图 6-27 “用 户 和 组 ”对 话 框 
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(3) 选 定 用 户 和 组 后 ， 单 击 “ 下 一 步 ” 按 钮 打开 “要 委派 的 任务 ”对 话 框 。 在 该 对 话 框 
中 可 以 选择 “委派 下 列 常见 任务 ” 单 选 按 钮 ， 然 后 在 任务 列表 框 中 选择 相应 的 任务 ， 也 可 以 
选择 “创建 自 定义 任务 去 委派 ” 单 选 按钮 ， 如 图 6-28 所 示 。 

(4) 如 果 选 择 系统 默认 的 委派 任务 ， 则 单 击 “ 下 一 步 ”按钮 ， 将 出 现 完 成 创建 的 对 话 框 ， 
单 击 “ 完 成 ”按钮 即 可 。 如果 选 择 了 自 定义 委派 任务 , 则 单 击 “ 下 一 步 ” 按 钮 后 会 打开 “Active 
Directory 对 象 类 型 选择 ”对 话 框 ， 用 户 可 以 指定 要 委派 的 对 象 范围 ， 如 图 6-29 所 示 。 
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图 6-28 “要 委派 的 任务 ”对 话 框 图 6-29 “对 象 类 型 选择 ”对 话 框 


(5) 在 自 定 义 了 委派 对 象 的 范围 后 ， 单 击 “ 下 一 步 ”按钮 将 打开 “权限 ”对 话 框 ， 用 户 
可 以 从 中 设置 委派 对 象 的 权限 ， 如 图 6-30 所 示 。 

(6) 确定 好 委派 的 权限 后 ， 单 击 “ 下 一 步 ”按钮 ， 将 打开 完成 创建 的 对 话 框 ， 如 图 6-31 
所 示 ， 单 击 “ 完 成 ”按钮 ， 即 可 完成 委派 控制 的 设置 。 
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图 6-30 “权限 ”对 话 框 图 6-31 完成 控制 委派 的 设置 
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Windows Server 2003 内 部 集成 了 许多 自动 的 网 络 性 能 优化 功 
能 ， 从 而 确保 基于 Windows Server 2003 为 服务 器 的 网 络 在 大 多 数 环 
境 下 都 能 表现 出 良好 的 性 能 。 了 解 一 些 关 于 Windows Server 2003 的 
网 络 维护 与 管理 方面 的 知识 ， 学 会 以 最 快 的 速度 找到 最 大 程度 减 慢 网 
络 速度 的 资源 ， 以 使 Windows Server 2003 服务 器 可 以 满足 网 络 上 客 
户 机 的 需求 ， 是 管理 员 的 重要 工作 。 本 章 将 着 重 介绍 如 何在 Windows 
Server 2003 系统 下 进行 网 络 维护 与 管理 方面 的 知识 。 
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7.1 添加 网 络 组 件 


用 户 在 安装 Windows Server 2003 之 后 , 可 能 遇 到 这 样 的 情况 , 即 用 户 在 安装 系统 时 没有 
将 所 有 的 网 络 服务 、 网 络 协议 或 网 络 工具 组 件 都 安装 在 系统 中 。 当 用 户 需要 服务 器 系统 启动 
某 项 管理 或 服务 功能 (如 DHCP 服务 、Windows Intemet 命名 服务 或 网 络 监视 功能 ) 时 ， 由 于 缺 
少 这 些 网 络 组 件 而 使 该 功能 或 服务 无 法 启动 。 这 时 用 户 便 需 要 手动 为 系统 添加 网 络 组 件 。 

下 面 就 介绍 如 何 将 未 安装 的 网 络 组 件 添加 到 系统 中 。 

(1) 打开 “开始 ”菜单 ， 选 择 “ 控 制 面板 ”|“ 添 加 或 删除 程序 ”命令 ， 打 开 “Windows 
组 件 向 导 ” 对 话 框 。 在 该 对 话 框 的 “组 件 ”列表 框 中 ， 系 统 给 出 了 用 户 可 以 选择 安装 的 网 络 
组 件 ， 其 中 包括 “管理 和 监视 工具 ”、“ 其 他 的 网 络 文件 和 打印 服务 ”和 “网 络 服务 ”3 大 
类 网 络 组 件 ， 如 图 7-1 所 示 。 

(2) 用 户 可 以 选中 组 件 选项 前 面 的 复 选 框 以 便 确 认 安装 该 类 组 件 。 如 果 用 户 选 定 某 类 组 
件 后 ， 复 选 框 显示 为 灰色 ， 则 表示 系统 只 安装 该 组 件 的 一 部 分 。 此 时 可 以 单 击 “ 详 细 信息 ” 
按钮 或 者 双击 该 组 件 选项 ， 打 开 该 类 组 件 的 详细 内 容 对 话 框 来 选择 要 安装 的 子 组 件 。 

(3) 在 “组 件 ” 列 表 框 中 双击 “管理 和 监视 工具 ”选项 ， 打 开 “ 管 理 和 监视 工具 ”对 话 
框 ， 如 图 7-2 所 示 。 
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7-1 “Windows 可 选 的 网 络 组 件 向 导 ” 对 话 框 7-2 “管理 和 监视 工具 ”对 话 框 

(4) 在 “管理 和 监视 工具 的 子 组 件 ” 列 表 框 中 选中 “连接 点 服务 ”选项 前 边 的 复 选 框 ， 
单 击 “ 确 定 ”按钮 将 返回 到 “Windows 组 件 向 导 ” 对 话 框 。 

(5) 在 “Windows 组 件 向 导 ” 对 话 框 中 的 “组 件 ” 列 表 框 中 双击 “网 络 服务 ”选项 ， 打 


开 “ 网 络 服务 ”对 话 框 ， 如 图 7-3 所 示 。 
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图 7-3 “网 络 服务 ”对 话 框 


(6) 单 击 “ 确 定 ”按钮 后 ， 在 “Windows 组 件 向 导 ” 对 话 框 中 单 击 “ 下 一 步 ” 按 钮 ， 系 
统 将 自动 在 Windows Server 2003 的 安装 光盘 中 查找 安装 组 件 所 需 的 文件 。 如 果 用 户 仍 未 将 安 
装 光盘 放 入 到 光盘 驱动 器 中 ， 系 统 将 自动 打开 一 个 对 话 框 ， 提 示 用 户 插入 Windows Server 
2003 安装 光盘 。 

(7) 用 户 需 要 将 Windows Server 2003 的 安装 光盘 插入 到 光盘 驱动 器 ， 然 后 单 击 “ 确 定 ” 
按钮 , 系统 将 自动 对 选择 安装 的 网 络 组 件 进 行 安装 配置 。 完 成 网 络 组 件 的 安装 和 配置 工作 后 ， 
系统 会 提示 用 户 网 络 组 件 安装 完成 。 


7.2 网络 性 能 概述 


在 使 用 Windows Server 2003 提供 的 性 能 监视 器 和 网 络 监视 器 等 性 能 监视 工具 对 网 络 性 
能 进行 监控 之 前 ， 还 应 了 解 一 些 网 络 性 能 方面 的 基础 知识 。 例 如 ， 管 理 员 或 用 户 必须 知道 
Windows Server 2003 是 否 存在 性 能 瓶颈 ， 如 何 才能 发 现 性 能 瓶颈 的 存在 ， 以 及 判定 网 络 性 能 
优 劣 的 标准 等 问题 。 本 节 将 介绍 有 关 网 络 性 能 方面 的 基础 知识 。 


7.2.1 网 络 性 能 优 劣 的 判定 标准 


在 一 般 的 计算 机 网 络 中 ， 客 户 机 工作 的 速度 通常 与 客户 机 所 访问 的 网 络 的 运行 速度 紧密 
相连 ， 因 此 ， 网 络 的 速度 会 限制 连接 在 网 络 上 的 每 台 计 算 机 的 速度 。 从 客户 机 的 角度 来 看 ， 
有 许多 影响 网 络 响应 速度 的 因素 ， 但 影响 最 大 的 两 个 因素 就 是 网 络 带 宽 的 可 利用 率 和 网 络 中 
服务 器 的 响应 速度 。 

那么 , 管理 员 或 用 户 应 以 何 种 标准 来 区 分 网 络 的 速度 是 否 会 限制 客户 机 的 速度 呢 ? 当 有 很 
多 的 计算 机 竞争 使 用 单一 共享 介质 的 子 网 或 者 计算 机 能 够 比 网 络 数据 链 路 所 支持 的 数据 速率 
(或 者 带宽 ) 更 快 地 处 理 数据 时 ， 亦 或 是 网 络 服务 器 的 性 能 过 低 而 不 能 快速 地 响应 客户 机 的 请 求 
时 ， 管 理 员 或 用 户 就 可 以 判定 该 网 络 将 限制 网 络 客户 机 的 速度 。 相 反 ， 如 果 网 络 立即 可 利用 或 
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者 数据 链 路 带宽 大 于 客户 机 所 能 处 理 的 数据 总 量 以 及 服务 器 能 够 快速 地 响应 客户 计算 机 请 求 ， 
那么 网 络 的 速度 将 不 会 限制 网 络 客户 机 的 速度 。 因 此 ， 一 个 快速 的 网 络 必须 具备 以 下 条 件 。 
e 数据 链 路 所 支持 的 数据 速率 必须 超出 网 络 客户 机 处 理 数据 的 能 
e 访问 网 络 共享 介质 的 竞争 不 能 超过 介质 的 负载 限度 。 
e 服务 器 必须 足够 地 快 ， 足 以 响应 所 有 网 络 客户 计算 机 的 请 求 。 


7.2.2 网络 性 能 瓶颈 


这 里 所 讲 的 瓶颈 主要 是 指 安装 有 Windows Server 2003 操作 系统 的 服务 器 中 限制 网 络 性 
能 的 因素 。 例 如 ， 较 小 的 内 存 限 制 了 处 理 器 可 以 运算 数据 的 速度 ， 从 而 限制 了 服务 器 的 处 理 
器 可 以 访问 内 存 的 速度 的 处 理性 能 。 如 果 内 存 可 以 比 处 理 器 更 快 地 响应 请 求 , 那么 处 理 器 
就 是 瓶颈 。 

网 络 的 性 能 总 是 要 受到 服务 器 性 能 瓶颈 的 影响 。 也 许 用 户 或 管理 员 根本 不 会 注意 到 瓶颈 
的 存在 , 因为 服务 器 也 许 比 所 干 的 工作 需要 的 速度 运行 更 快 。 如 果 仅仅 把 服务 器 用 于 字 处 理 ， 
那么 服务 器 的 速度 就 不 会 限制 工作 的 速度 ， 但是， 如 果 服 务 器 需要 响应 几 百 台 客 户 机 甚至 是 
几 千 台 客户 机 的 请 求 , 那么 发 现 瓶 颈 的 代价 就 是 客户 机 必须 花费 许多 时 间 等 待 服务 器 的 响应 。 

用 户 或 管理 员 总 是 可 以 对 服务 器 进行 优化 ， 查 找 其 面临 最 大 负载 量 的 资源 ， 然 后 来 减轻 
资源 的 负载 量 , 使 服务 器 具有 更 高 响应 能 力 。 理解 Windows Server 2003 如 何 获得 其 最 佳 性 能 
以 及 如 何 增加 Windows Server 2003 服务 器 的 性 能 是 重要 的 。 即 使 并 不 需要 服务 器 的 速度 有 多 
快 ， 理 解 服务 器 中 何 处 存在 瓶颈 ， 对 于 管理 员 进行 服务 器 的 性 能 调整 也 是 很 有 用 的 。 

要 想 查找 网 络 性 能 的 瓶颈 ， 就 必须 测量 系统 中 不 同 资源 的 运行 速度 。 速 度 测 量 使 用 户 能 
够 找到 一 种 处 于 峰值 执行 状态 因而 导致 了 瓶颈 的 资源 。 不 同 的 资源 需要 不 同 的 衡量 方法 ， 例 
如 ， 网 络 流量 以 利用 率 百 分 比 来 衡量 ， 而 磁盘 吞吐 率 则 以 每 秒 兆 字 节 来 衡量 。 

要 想 查找 服务 器 中 的 瓶颈 ， 应 该 首先 运行 本 章 后 面 将 要 讨论 的 性 能 监视 器 应 用 程序 。 然 
后 把 服务 器 的 负荷 降低 至 引起 所 想 要 的 性 能 更 坏 的 范围 之 下 。 把 多 台 客 户 机 连接 到 网 络 文件 
服务 器 并 开始 复制 文件 。 

性 能 与 网 络 监视 器 会 提示 用 户 几 个 方便 的 衡量 方法 并 进行 更 深入 地 搜索 ， 查 找 精确 的 瓶 
颈 所 在 。 例 如 ， 如 果 显 示 了 处 理 器 时 间 及 磁盘 时 间 之 后 ， 掌 握 了 磁盘 正 处 于 运行 峰值 ， 那 么 
就 知道 应 该 集中 精力 于 与 磁盘 相关 的 衡量 方法 。 或 者 如 果 网 络 监视 器 显示 网 络 处 于 界限 负荷 
之 下 ， 那 么 就 争取 查找 正在 处 于 极限 传输 状态 的 客户 机 ， 并 确定 那些 客户 机 的 信息 流量 是 否 
合适 。 如 果 情 况 果 真如 此 ， 那么 应 该 争取 把 子 网 进一步 分 成 两 个 以 上 的 子 网 段 或 者 更 新 至 
更 快 的 数据 链 路 技术 。 

查找 瓶颈 仅仅 是 成 功 的 一 半 ， 更 重要 的 工作 是 如 何 消除 查找 到 的 瓶颈 。 通 常用 户 能 够 使 
用 更 详细 的 测量 方法 ， 以 确定 使 网 络 负载 下 降 的 具体 活动 。 例 如 ， 如 果 确 定 网 络 利用 率 高 ， 


那么 应 该 使 用 网 络 监视 器 确定 是 哪 一 台 计 算 机 产生 了 那么 大 的 负荷 ， 原 因 又 是 什么 。 也 许 会 
发 现 网 络 上 存在 一 台 失 灵 的 设备 ， 其 产生 了 沉重 的 信息 量 ; 或 者 复制 或 备份 计划 产生 了 远 远 
超过 了 所 设想 的 网 络 流量 。 以 上 这 些 问题 都 易于 纠正 ， 然 而 有 时 却 会 发 现 网 络 不 仅仅 是 速度 
不 够 快 ， 而 且 主要 结构 在 顺序 上 也 发 生 了 改变 。 

使 网 络 达到 最 高 性 能 是 一 种 连续 不 断 的 进程 。 一 旦 已 经 消除 了 系统 中 的 主要 瓶颈 之 后 , 就 
又 重新 开始 查找 并 消除 下 一 个 新 的 瓶颈 。 系 统 中 总 是 有 瓶颈 存在 ， 因 为 一 种 资源 总 会 导致 其 他 
资源 等 待 。 因 此 ， 查 找 影响 网 络 性 能 的 瓶颈 并 且 将 其 消除 的 工作 需要 管理 员 重 复 不 断 地 进行 。 


7.3 ”使 用 性 能 监视 器 监控 网 络 


网 络 会 导致 很 多 性 能 问题 ， 如 果 问 题 涉及 到 网 络 硬件 、 缆 线 或 网 络 流量 ， 那 么 该 问题 就 
很 难 发 现 。“ 性 能 监视 器 ”提供 了 衡量 通过 服务 器 的 网 络 流量 的 计数 器 ， 网 络 流量 由 重 定向 
器 和 服务 器 软件 处 理 。 

Windows Server 2003 的 重 定向 软件 (RDR.SYS) 可 以 转发 请 求 ， 而 服务 器 软件 (SRV.SYS) 
接收 并 解释 传 入 的 消息 ， 每 台 计 算 机 至 少 使 用 一 种 协议 来 处 理 分 组 格式 化 和 路 由 。Windows 
Server 2003 支持 几 种 服务 器 协议 ， 包 括 NeBEUI 和 TCP/IP。 服 务 器 、 重 定向 器 、NeBEUI 和 
TCP/IP 均 能 产生 一 组 表现 为 “性 能 监视 器 ”的 计数 器 的 统计 信息 。 不 正常 的 网 络 计数 器 值 表 
明 服务 器 的 内 存 、 处 理 器 或 磁盘 出 了 问题 。 因而 , 监控 服务 器 的 最 好 方法 是 与 其 他 计数 器 如 % 
Processor Time，%Disk Time 和 Pages/sec 一 起 使 用 。 

用 户 可 以 参考 如 下 步骤 来 使 用 “性 能 监视 器 ”跟踪 TCPJIP 的 性 能 。 

(1) 打开 “开始 ”菜单 ， 选 择 “ 管 理工 具 ”|“ 性 能 ”命令 ， 系 统 将 打开 “性 能 ”窗口 ， 
如 图 7-4 所 示 。 

(2) 在 “性 能 ”窗口 的 工具 栏 中 单 击 “+” 按 钮 ， 系 统 将 打开 “添加 计数 器 ”对 话 框 ， 如 
图 7-5 所 示 。 
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(3) 在 “添加 计数 器 ”对 话 框 中 ， 用 户 首先 需要 选择 希望 监控 的 计算 机 ， 可 以 选择 “使 
用 本 地 计算 机 计数 器 ” 单 选 按钮 使 监视 器 监控 本 机 的 某 项 性 能 ， 也 可 以 选择 “从 计算 机 选择 
计数 器 ” 单 选 按钮 ， 然 后 再 从 下 面 的 下 拉 列 表 框 中 选择 本 机 或 已 经 连接 的 网 络 计算 机 作为 监 
控 的 对 象 。 接 下 来 需要 在 “性 能 对 象 ” 下 拉 列 表 框 中 选择 要 监控 的 性 能 对 象 。 例 如 ，Server、 
DNS、DHCP Server 等 。 这 里 主要 添加 了 前 面 提 到 的 一 些 针 对 网 络 性 能 的 对 象 类 型 。 选 定 一 
种 性 能 对 象 后 ， 该 对 象 的 计数 器 便 显 示 在 “计数 器 ”列表 框 中 , 选 定 所 需 的 计数 器 并 单 击 “ 添 
加 ”按钮 即 可 。 

(4) 单 击 “ 关 闭 ” 按 钮 后 ， 系 统 将 返回 “性 能 ”窗口 ， 这 时 便 可 看 到 系统 已 经 开始 用 选 
定 的 计数 器 对 相应 的 对 象 进行 监控 ， 如 图 7-6 所 示 。 


EL 6)x) 
二 了 | 四 加 | 车 


图 7-6 性 能 监视 器 对 网 络 进行 监控 


7.4 网 络 监视 器 监控 网 络 


Windows Server 2003 的 网 络 监视 器 实现 了 第 三 方 网 络 分 析 器 的 许多 相同 功能 。 网 络 监视 
器 是 专用 的 硬件 工具 ， 很 容易 适应 不 同类 型 的 网 络 ， 物 理 电缆 布线 ， 大 型 捕获 缓冲 器 以 及 较 
高 操作 ， 尽 管 在 网 络 访问 和 速度 方面 受到 运行 其 中 的 宿主 机 的 限制 , 但 Windows Server 2003 
网 络 监视 器 仍然 易于 操作 且 可 被 快速 配置 和 设置 以 捕获 数据 。 

Windows Server 2003 网 络 监 视 器 可 以 运行 在 一 台 或 者 多 台 客 户 机 和 服务 器 上 。 网 络 监 视 
器 必须 能 够 通过 网 络 从 网 络 计算 机 上 获取 数据 ， 这 就 需要 跟 网 络 监视 器 连接 的 任意 一 台 计 算 
机 上 装 入 Windows Server 2003 网 络 监视 器 代理 , 网 络 监视 器 会 穿 过 网 络 直 接 与 装 在 网 络 计算 
机 上 的 协议 堆栈 中 的 监控 代理 打交道 ， 通 过 交互 作用 在 本 地 计算 机 或 者 网 络 上 的 任何 一 台 计 
算 机 上 进行 监控 ， 达 到 捕获 网 络 信息 流量 的 目的 。 

Windows Server 2003 网 络 监视 器 捕获 信息 流量 的 方式 如 下 。 


。 捕获 所 有 网 络 数据 并 用 显示 过 滤器 显示 出 有 意义 的 数据 包 。 

e 限制 捕获 通过 捕获 过 滤器 定义 的 数据 。 

。 直到 特定 触发 器 事件 出 现 才 停 止 捕获 网 络 信息 流量 ， 可 以 通过 创建 定制 的 捕获 触发 
器 在 指定 事件 出 现 后 停止 数据 捕获 。 识 别 出 触 发 器 后 ，Microsoft 网 络 监视 器 将 关闭 
捕获 模式 并 等 待 操作 员 动 作 。 


Windows Server 2003 网 络 监视 器 对 计算 机 系统 的 内 存 要 求 比较 高 ， 一 般 至 少 需要 
32M 内 存 。 这 是 因为 网 络 监视 器 使 用 内 存 捕获 文件 ， 捕 获 文 件 填 满 后 会 覆盖 已 存在 的 
数据 ， 从 而 造成 数据 的 丢失 。 而 且 网 络 监视 器 对 内 存 的 要 求 主 要 取决 于 网 络 流量 ， 网 
络 流量 的 范围 越 大 捕获 文件 就 越 大 ， 对 运行 监视 器 的 计算 机 的 内 存 要 求 也 就 越 高 。 


7.4.1 网 络 监视 器 窗口 


Windows Server 2003 网 络 监视 器 的 主 窗口 主要 由 4 个 平 铺 的 窗 格 组 成 ， 包 括 Network 
Graph( 网 络 图 表 窗 格 )、Session Statistics( 会 话 统计 窗 格 )、Station Statistics( 站 统计 窗 格 )、Total 
Statistics( 汇 总 统计 窗 格 )。 要 打开 网 络 监视 器 窗口 ， 可 以 打开 “开始 ” 菜单， 选择“ 管理 工具 ” 
| “网络 监视 器 ”命令 即 可 ， 如 图 7-7 所 示 。 
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图 7-7 “Microsoft 网 络 监视 器 ”窗口 


1. 网 络 图 表 窗 格 


网 络 图 表 窗 格 主要 是 以 图 表 的 形式 显示 某 一 瞬间 网 络 的 使 用 情况 。 在 “Microsoft 网 络 监 
视 器 ”窗口 中 ， 打 开 “ 窗 口 ”菜单 取消 选择 “总 共 统 计 ”、“ 会 话 统计 ”和 “机 器 统计 ”3 
个 命令 选项 ， 而 只 选择 “图 表 ” 命 令 ， 使 “Microsofr 网 络 监视 器 ”窗口 单独 显示 网 络 图 表 窗 
格 ， 其 中 包含 5 个 条 状 图 形 ， 每 个 图 形 显示 单个 值 的 瞬间 读 取 结 果 ， 如 图 7-8 所 示 。 
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图 7-8 图 表 窗 格 信息 


图 7-8 中 的 S 个 条 状 图 形 的 说 明 如 下 。 
网 络 利用 ;显示 网 络 带宽 被 利用 的 百分率 。 
每 秒 帧 数 ， 显 示 网 络 上 传送 的 帧 数 。 
每 秒 字 节 数 ， 显 示 统 计 的 网 络 上 传输 的 字 节 数 。 
每 秘 广播 数 ， 显 示 统计 的 每 秒 网 络 上 广播 数据 包 煞 。 
每 秘 多 播 数 ， 显 示 每 秒 网 络 上 统计 到 的 多 址 发 送 的 数据 包 数 。 

通过 网 络 图 表 窗 格 可 以 快速 查看 网 络 的 运行 状况 。 图 表 上 有 用 的 主要 部 分 是 “网 络 利 
用 ”、“ 每 秒 广播 ”和 “每 秒 多 播 数 ”， 如 果 这 3 部 分 显示 的 值 比较 高 ， 则 说 明 网 络 中 可 能 
有 太 多 不 必要 的 信息 流量 。 

2. 会 话 统计 窗 格 


会 话 统计 窗 格 中 显示 了 不 同 网 络 计算 机 问 会 话 的 概要 列表 , 网络 计算 机 被 标记 为 1 和 2， 
列 1 一 >2 显示 计算 机 1( 左 边 的 列 ) 向 计算 机 2( 右 边 的 列 ) 发 送 的 字 节 数 ， 列 1< 一 2 显示 计算 机 
2 向 计算 机 1 发 送 的 字 节 数 ; 列 “网 络 地 址 1” 和 “网 络 地 址 2” 分 别 显示 宿主 计算 机 的 MAC 
地 址 。 如 果 管 理 员 发 现 一 边 的 宿主 计算 机 发 送信 息 ， 而 另 一 边 的 宿主 计算 机 没有 应 答 ， 则 表 
明 此 种 信息 流 属于 UDP 或 者 广播 信息 和 多 地 址 发 送 传输 组 成 。 会 话 统计 窗 格 对 检测 支配 网 
络 的 宿主 机 很 有 用 。 在 “Microsoft 网 络 监视 器 ”窗口 中 ， 打 开 “ 窗 口 ”菜单 取消 选择 “总 共 
统计 ”、“ 图 表 ”和 “机 器 统计 ”3 个 命令 选项 , 只 选择 “会 话 统计 ”命令 选项 即 可 使 “Microsoft 
网 络 监视 器 ”窗口 单独 显示 会 话 统计 窗 格 ， 如 图 7-9 所 示 。 
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图 7-9 会 话 统计 窗 格 


3. 机 器 统计 窗 格 


机 器 统计 窗 格 显示 出 所 捕获 的 每 个 宿主 计算 机 发 送 的 总 帧 数 的 概要 信息 。 宿 主 计算 机 的 
传送 情况 通过 发 送 和 接收 的 帧 数 、 发 送 和 接收 的 字 节 数 、 直 接 帧 发 送 数 以 及 多 地 址 传送 的 帧 
数 和 发 送 的 广播 信息 来 表示 ， 在 “Microsoft 网 络 监视 器 ”窗口 中 ， 打 开 “ 窗 口 ”菜单 取消 选 
择 “ 总 共 统 计 ”、“ 图 表 ” 和 “会 话 统计 ”3 个 命令 选项 ， 只 选择 “机 器 统计 ”命令 选项 即 
可 使 “Microsoft 网 络 监视 器 ”窗口 单独 显示 机 器 统计 窗 格 ， 如 图 7-10 所 示 。 
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图 7-10 机 器 统计 窗 格 


机 器 统计 窗 格 在 比较 每 台 宿 主机 发 送 和 接收 到 的 信息 时 是 非常 有 用 的 ， 如 果 一 个 单独 的 
宿主 计算 机 在 网 络 中 占据 支配 地 址 ， 则 该 主机 的 字 节 统计 数 将 提升 网 络 的 利用 百分比 。 
4. 总 共 统计 窗 格 


总 共 统 计 窗 格 显示 的 统计 信息 描述 了 检测 到 的 网 络 流量 ， 包 括 捕获 到 的 帧 和 字 节 数 、 组 
冲 区 里 的 帧 和 字 节 数 、 每 秒 网 络 使 用 统计 、 网 络 的 使 用 状况 及 网 络 状态 统计 。 这 些 统计 信息 
是 作为 时 间 的 函数 被 捕获 的 。 在 “Microsoft 网 络 监视 器 ”窗口 中 ， 打 开 “ 窗 口 ”菜单 取消 选 
择 “ 机 器 统计 ”、“ 图 表 ” 和 “会 话 统计 ”3 个 命令 选项 ， 只 选择 “总 共 统计 ”命令 选项 即 
可 使 “Microsoft 网 络 监视 器 ”窗口 单独 显示 总 共 统 计 窗 格 ， 如 图 7-11 所 示 。 
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图 7-11 总 共 统 计 窗 格 
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后) 基山 乱 理 上 
总 共 统 计 窗 格 对 管理 员 全 面 监控 网 络 活动 、 管 理 捕获 文件 以 及 观察 错误 是 非常 有 用 的 。 


7.4.2 创建 捕获 筛选 器 


由 于 许多 协议 都 是 同 多 个 信 源 、 信 宿 地 址 以 及 消息 类 型 混合 在 一 起 的 ， 所 以 网 络 数据 的 
出 现 和 消失 都 是 随机 的 .Microsoft 网 络 监视 器 的 出 现 有 利于 管理 员 区 分 通过 网 络 传递 的 看 似 
随机 的 数据 。 

在 Microsoft 网 络 监 视 器 中 可 以 判断 数据 通过 网 络 时 的 方向 ， 这 意味 着 所 创建 的 筛选 器 
可 以 指定 是 否 将 捕获 流入 或 流出 特定 设备 的 数据 。 也 可 以 把 数据 方向 设置 为 捕获 传 入 或 者 传 
出 指定 地 址 的 数据 包 。 数 据 方向 使 得 管理 员 不 用 捕获 网 络 上 传送 的 所 有 数据 即 可 观察 到 发 向 
用 户 计算 机 的 数据 。 

捕获 过 滤 程 序 使 用 以 下 参数 对 网 络 流量 进行 过 滤 。 

e 网 络 地 址 : 如 果 在 捕获 过 滤器 中 配置 了 地 址 , Microsoft 网 络 监视 器 会 用 适当 的 MAC 

地 址 测试 每 个 网 络 数据 包 。 如 果 信 息 流量 中 包含 正确 地 址 ， 就 会 被 收集 在 捕获 组 
冲 区 中 。 

e 捕获 协议 ， 可 以 把 捕获 过 滤器 配置 为 只 捕获 与 指定 协议 匹配 的 数据 包 。 

。 捕获 模式 ， 创建 的 过 滤器 可 以 按照 数据 包 中 指定 的 模式 来 匹配 数据 包 数 据 。 

e 方向 : Microsoft 网 络 监 视 器 可 以 观察 数据 的 方向 ， 通 过 该 特性 可 以 用 地 址 、 协 议 、 

模式 或 方向 隔离 特定 的 站 点 ， 以 便 观 察 流入 或 流出 该 计算 机 的 数据 。 

下 面 是 创建 捕获 筛选 器 的 具体 操作 步 又 。 

(1) 在 “Microsoft 网 络 监视 器 ”窗口 中 ， 选 择 “ 捕 获 ”|“ 筛 选 器 ”命令 ， 打 开 “ 捕 获得 
选 器 ”对 话 框 ， 如 图 7-12 所 示 。 


在 创建 “捕获 筛选 器 ”之 前 必须 停止 Microsoft 网 络 监视 器 的 捕获 工作 ， 可 以 通 
过 选择 “捕获 ”|“ 停 止 ”命令 来 停止 Microsoft 网 络 监视 器 。 


(2) 在 列表 框 中 的 目录 树 中 ,选择 SAP/ETYPE=Any SAP or Any ETYPE 节点 。 然 后 单 击 
“编辑 ”按钮 ， 打 开 “ 捕 获 筛选 器 SAP 和 ETYPE” 对 话 框 ， 如 图 7-13 所 示 。 

(3) 在 “被 禁用 的 协议 ”列表 框 中 选择 要 添加 的 协议 ， 单 击 “启用 ”按钮 即 可 允许 该 协 
议 有 效 并 添加 到 “启用 的 协议 ”列表 框 中 ， 如 果 要 添加 全 部 的 禁用 协议 ， 可 以 单 击 “ 全 部 启 
用 ”按钮 。 

(4) 要 禁用 已 启用 的 协议 ， 可 以 先 在 “启用 的 协议 ”列表 框 中 选择 要 禁用 的 协议 ， 然 后 
单 击 “ 禁 用 ”按钮 即 可 ;如果 要 禁用 全 部 已 启用 协议 ， 可 以 直接 单 击 “ 全 部 禁用 ”按钮 。 


FEEEE3 划 EECID 区 
[添加 局 用 的 协议 人 DD 
这 rin E23 Er 
A 模式 


禁用 中) | 全 部 禁用 QD) 局 用 中 i 
被 禁用 的 协议 I) 


| 
取消 帮助 四 
图 7-12 “捕获 筛选 器 ”对 话 框 7-13 ”添加 捕获 协议 


(5) 单 击 “ 确 定 ” 按 钮 返回 到 “捕获 筛选 器 ”对 话 框 。 
(6) 要 添加 捕获 筛选 器 地 址 及 设置 数据 方向 ， 可 以 在 目录 树 中 选择 “AND( 地 址 对 )” 节 
点 ， 然 后 单 击 “ 地 址 ”按钮 ， 打 开 如 图 7-14 所 示 的 “地 址 表达 式 ” 对 话 框 。 


7-14 ”添加 地 址 和 设置 数据 方向 


(7) 在 “地 址 表达 式 ” 对 话 框 中 可 以 选择 “包含 ”或 者 “排除 ” 单 选 按钮 。 如 果 选 择 “ 包 
含 ” 单 选 按钮 ， 则 意味 着 如 果 一 个 数据 包 符 合 捕获 筛选 器 的 地 址 表达 式 ， 则 该 数据 包 会 被 捕 
获 ; 如 果 选 择 “排除 ” 单 选 按钮 ， 则 意味 着 如 果 一 个 数据 包 符 合 捕获 筛选 器 的 地 址 表达 式 要 
求 ， 则 该 数据 包 不 会 被 Microsoft 网 络 监视 器 所 捕获 ， 即 使 该 数据 包 符合 一 个 或 者 多 个 地 址 
表达 式 的 要 求 。 

(8) 要 编辑 地 址 , 可 以 单 击 “编辑 地 址 ”按钮 打开 “地 址 数据 库 ” 对 话 框 ， 如 图 7-15 所 示 。 

(9) 编辑 完 地 址 后 ， 返 回 “ 地 址 表达 式 ” 对 话 框 ， 从 “机 器 (1)” 列 表 框 中 选择 一 个 机 器 ， 
再 从 “机 器 (2)” 列 表 框 中 选择 一 个 相对 应 的 机 器 ， 然 后 从 “方向 ”文本 框 中 选择 一 个 方向 : 
> 或 者 < 一 一 。 

(10) 单 击 “ 确 定 ” 按 钮 ， 完 成 地 址 的 添加 并 返回 到 “捕获 筛选 器 ”对 话 框 。 

(11) 要 添加 捕获 模式 ， 可 以 在 目录 树 中 选择 “AND( 模 式 匹 配 )” 节 点 ， 单 击 “ 模 式 ” 按 
钮 打开 “模式 匹配 ”对 话 框 ， 如 图 7-16 所 示 。 
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(12) 在 “模式 ”文本 框 中 输入 模式 名 称 ， 注 意 如 果 选 中 “十 六 进 制 ” 单 选 按钮 ， 则 输入 
的 模式 为 十 六 进 制 捕获 模式 ， 如 果 选 择 ASCII 单 选 按钮 ， 输 入 的 模式 则 为 ASCII 码 捕获 模式 。 
在 “ 偏 移 值 (十 六 进 制 )” 文 本 框 中 输入 一 个 十 六 进 制 数 来 指定 出 现在 帧 中 的 多 少 字 节 处 。 要 
从 帧 的 开始 处 开始 搜索 模式 ， 则 选择 “从 帧 的 开头 ” 单 选 按钮 ， 要 从 拓扑 标 头 之 后 开始 搜索 
模式 ， 则 选择 “从 拓扑 标 头 信息 末尾 ” 单 选 按钮 。 

(13) 单 击 “ 确 定 ”按钮 保存 设置 并 返回 “捕获 筛选 器 ”对 话 框 。 单 击 “ 保 存 ” 按 钮 ， 可 
以 将 捕获 过 滤 程 序 保存 起 来 。 最 后 单 击 “ 确 定 ”按钮 ， 关 闭 “ 捕 获 筛选 器 ”对 话 框 ， 完 成 捕 
获 过 滤 程 序 的 配置 。 


7.4.3 创建 触发 器 


触发 器 是 一 种 当 符 合 一 系列 指定 条 件 时 被 执行 的 动作 。 使 用 Microsoft 网 络 监视 器 从 网 
络 捕获 数据 之 前 ， 可 以 设置 触发 器 来 停止 捕获 或 者 执行 命令 文件 。 如 果 使 用 Microsoft 网 络 
监视 器 代理 进行 远程 捕获 ， 则 可 以 在 远程 系统 上 设置 触发 器 。 在 远程 捕获 上 所 设置 的 运行 触 
发 器 常常 在 远程 系统 上 运行 。 如 果 触 发 器 涉及 程序 或 批 处 理 文件 的 执行 ， 则 该 执行 对 于 远程 
系统 上 的 用 户 是 不 可 见 的 。 

要 创建 触发 器 ， 可 以 参照 下 面 的 步 又 。 

(1) 在 “Microsof 网 络 监 视 器 ”窗口 中 ， 选 择 “ 捕 获 ”|“ 触 发 器 ”命令 ， 打 开 “ 捕 获 触 
发 器 ”对 话 框 ， 如 图 7-17 所 示 。 


在 创建 捕获 触发 器 之 前 ， 必 须 先 停止 Microsoft 网 络 监视 器 捕获 网 络 信息 。 
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(2) 在 “触发 器 操作 条 件 ” 选 项 区 域 中 选择 一 个 单 选 按钮 。 例 如 ， 选 择 “ 先 缓冲 区 空间 
后 模式 匹配 ” 单 选 按钮 将 使 触发 器 先 检 查 缓冲 区 ， 然 后 再 进行 模式 匹配 。 

(3) 在 “缓冲 区 空间 ”选项 区 域 中 选择 启动 触发 器 之 前 捕获 缓冲 区 必须 填 满 的 最 大 百 分 
比 。 例 如 ， 选 择 75% 单 选 按钮 ， 则 当 捕获 缓冲 区 被 填 满 73% 时 启动 触发 器 。 

(4) 在 “模式 ”选项 区 域 中 ， 在 “ 偏 移 值 (十 六 进 制 )” 文 本 框 中 输入 一 个 十 六 进 制 数 ， 用 
来 指定 模式 出 现在 帧 中 的 多 少 字 节 处 ;要 从 帧 的 开头 开始 搜索 模式 ， 则 选择 “从 帧 的 开头 ” 
单 选 按钮 ， 要 从 拓扑 标 头 之 后 开始 搜索 模式 ， 则 选择 “从 拓扑 标 头 信息 末尾 ” 单 选 按钮 ; 在 
“模式 ”文本 框 中 输入 要 的 匹配 模式 ， 但 在 输入 十 六 进 制 模式 前 应 先 选 择 “ 十 六 进 制 ” 单 选 
按钮 ， 在 输入 ASCII 码 模式 前 应 选择 ASCII 单 选 按钮 。 

(5) 在 “触发 器 操作 ”选项 区 域 中 ,可 以 指定 触发 器 匹配 之 后 Microsoft 网 络 监视 器 要 采 
取 的 动作 。 如 果 只 需要 讯号 提示 ， 可 以 选择 “只 有 可 听 到 讯号 ” 单 选 按钮 ; 如 果 要 停止 捕获 ， 
可 以 选择 “停止 捕获 ” 单 选 按钮 。 另 外 ， 还 可 以 选中 “执行 命令 行 ” 复 选 框 ， 并 在 其 后 的 文 
本 框 中 输入 可 执行 文件 的 路 径 。 

(6) 单 击 “ 确 定 ”按钮 保存 设置 。 


7.4.4 缓冲 区 设置 


Microsoft 网 络 监 视 器 器 可 以 捕获 的 数据 总 量 依赖 于 捕获 缓冲 区 大 小 ， 首 次 启动 
Microsoft 网 络 监视 器 时 ， 其 默认 的 缓冲 区 大 小 为 IMB， 管 理 员 应 设置 缓冲 区 增 大 其 值 ， 因 
为 一 个 良好 的 工作 缓冲 区 其 大 小 应 为 10MB 或 者 更 多 。 

要 配置 捕获 缓冲 区 ， 可 以 参照 下 面 的 步骤 。 

(1) 在 “Microsof 网 络 监视 器 ”窗口 中 ， 选 择 “ 捕 获 ”| “缓冲 区 设置 ”命令 ， 打 开 “ 捕 
获 缓冲 区 设置 ”对 话 框 ， 如 图 7-18 所 示 。 


【0ke) 系统 芝 理 [本 本 


捕获 缓冲 区 设置 x 


线 9 区 大 小 BJ)@) 同 可 
帧 大 小 信 节 ) ED) 硅 树 S| 
wa | mm | 


图 7-18 设置 缓冲 区 


(2) 从 “缓冲 区 大 小 (MB)” 下 拉 列 表 框 中 选择 一 个 新 值 或 者 直接 输入 一 个 新 值 ， 来 更 改 
捕获 缓冲 区 大 小 。 从 “ 帧 大 小 ( 字 节 )” 下 拉 列 表 框 中 选择 或 者 直接 输入 一 个 值 ， 来 改变 每 帧 
捕获 到 的 数据 字 节 数 目 。 

(3) 单 击 “ 确 定 ”按钮 完成 设置 。 


如 果 所 设置 的 缓冲 区 的 大 小 超过 了 物理 内 存 总 量 ， 则 会 因为 内 存 与 分 页 文件 之 间 
的 互 换 而 丢失 帧 。 而 且 每 帧 捕获 到 的 数据 字 节 数 严格 依赖 于 试图 解决 的 问题 ， 如 果 问 
题 与 数据 损坏 或 者 特定 的 数据 序列 有 关 ， 则 必须 捕获 尽 可 能 多 的 数据 。 


7.4.5 捕获 数据 


前 面 详细 介绍 了 捕获 过 滤 程序 和 触发 器 的 创建 以 及 缓冲 区 的 设置 ， 本 节 将 在 此 基础 上 介 
绍 数 据 捕获 的 过 程 。 用 Microsoft 网 络 监视 器 进行 数据 捕获 既 快 又 简单 ， 可 以 先 按照 上 面 所 
述 创建 捕获 过 滤 程 序 和 触发 器 ， 并 设置 缓冲 区 大 小 ， 然 后 选择 “捕获 ”|“ 开 始 ”命令 ,开始 
捕获 进程 。 捕 获 完 毕 ， 选 择 “ 捕 获 ” |“ 停 止 且 查看 ”命令 ， 停 止 捕获 进程 并 查看 捕获 缓冲 区 
中 的 数据 ， 如 图 7-19 所 示 。 


Microsoft 网 络 鉴 视 器 - [捕获 : 4 (总 结 )] 


7-19 查看 缓冲 区 捕获 的 数据 


7.5 “提高 性 能 


当 网 络 开始 运行 较 慢 时 ， 提 高 网 络 运行 速度 可 能 会 很 困难 。 但 可 以 采用 以 下 几 种 可 行 的 
方式 来 提高 网 络 性 能 ， 主 要 包括 : 减少 信息 流量 、 增 加 子 网 数目 和 提高 网 络 速度 3 种 方式 。 
本 节 便 对 这 3 种 提高 网 络 性 能 的 方式 分 别 进行 介绍 。 


A | 减少 信 言 息 ; 流 充 量 


当 环 境 允 许 时 ， 减 少 信息 流量 的 方式 是 最 好 的 。 因 为 ， 不 论 当前 网 络 的 结构 如 何 ， 这 种 
方式 都 会 起 作用 ， 而 且 并 不 需要 任何 物理 改变 。 减 少 信息 流量 也 许 意味 着 本 地 化 部 门 子 网 中 
的 服务 器 ， 或 者 把 网 络 应 用 程序 迁移 到 较 低 带宽 的 Intemet 客户 机 /服务 器 协议 。 

无 系统 的 方式 减少 网 络 信息 流量 必须 使 用 本 章 后 面 所 讨论 的 工具 监控 网 络 ， 来 决定 是 否 
可 以 减轻 网 络 上 的 信息 流量 负荷 。 然 而 用 户 可 以 查看 以 下 几 个 问题 区 域 。 

e 产生 过 量 信息 流量 的 用 户 并 查找 其 过 量 的 原因 ， 如 果 并 没有 有 效 的 与 工作 相关 的 理 

由 ， 则 应 鼓励 那些 用 户 停止 使 用 网 络 。 

e 运行 Windows 的 无 盘 工 作 站 ， 这 些 Windows 无 盘 工 作 站 产生 了 网 络 上 的 巨大 负荷 。 
硬盘 的 价格 与 网 络 升 级 费用 相 比 是 很 便宜 的 ， 所 以 考虑 为 那些 无 盘 工 作 站 计算 机 添 
加 硬盘 ， 并 从 本 地 硬盘 上 引导 操作 系统 。 

e 争取 存储 在 真正 客户 机 /服务 器 应 用 网 络 上 的 数据 逐年 的 降低 。 例 如 ， 有 时 需要 把 一 
个 存储 在 服务 器 上 的 Access 数据 库 迁 移 到 使 用 Access 的 前 端 客户 机 应 用 程序 与 后 端 
SQL 服务 器 的 客户 机 /服务 器 数据 库 。 

减轻 网 络 负荷 通常 包括 找 出 产生 最 大 网 络 负荷 的 计算 机 ， 确 定 该 计算 机 产生 如 此 大 的 网 
络 负荷 的 原因 ， 如 果 可 能 的 话 可 以 减轻 由 某 一 具体 计算 机 所 产生 的 网 络 负荷 。 重 复 执行 以 上 
过 程 , 直到 不 可 能 进一步 减轻 网 络 负荷 为 止 , 这 样 就 把 网 络 信息 流量 降 至 了 某 种 可 行 的 程度 。 


7.5.2 ”增加 子 网 数目 


增加 子 网 数目 是 次 要 的 方法 。 这 种 方法 等 价 于 构建 更 多 的 通路 ， 从 而 可 以 减轻 信息 流量 
拥塞 ， 而 不 是 仅仅 提高 速度 限制 。 除 非 网 络 远 远 落后 于 信息 流量 的 要 求 ， 否 则 简单 地 将 该 共 
享 介 质 型 网 络 拆 分 为 多 个 由 网 桥 、 路 由 器 或 者 执行 路 由 服务 的 服务 器 所 连接 的 子 网 ， 将 能 够 
从 中 获得 诸多 好 处 。 

与 高 速 公路 相 比 ， 拆 分 网 络 与 建设 更 多 的 高 速 公路 相同 。 在 理论 上 讲 ， 加 倍 了 冲突 域 的 
数量 也 就 减少 了 每 部 分 一 半 的 信息 流量 。 然 而 ， 这 种 方法 仅仅 可 用 于 保证 转换 双方 都 处 于 同 
一 子 网 络 的 情况 。 例 如 ， 如 果 拆 分 了 网 络 ， 而 网 络 上 花费 大 多 数 时 间 进 行 通 信 的 计算 机 处 于 
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不 同 的 子 网 上 ， 那 么 就 还 没有 解决 问题 。 这 两 台 计 算 机 的 信息 流量 将 仅仅 在 两 个 子 网 上 进行 
传输 。 

通常 情况 下 ， 把 一 台 交 换 式 以 太 网 交换 机 (Ethermet Switch) 放 置 于 多 个 Ethemet 子 网 段 的 
核心 位 置 ， 是 一 种 拆 分 网 络 与 重 连接 网 络 而 不 花费 太 多 时 间 改 变 网 络 体系 结构 的 易 行 而 又 可 
以 解决 障碍 的 方法 。 确 保 把 子 网 段 中 的 服务 器 旋转 于 最 高 效 使 用 的 地 方 。 

拆 分 时 必须 确保 把 花费 时 间 互 相通 信 的 计算 机 单独 放置 于 同一 子 网 上 ， 也 就 是 为 什么 基 
于 一 些 真实 个 体 组 织 拆 分 子 网 的 原因 。 例 如 ， 按 部 门 拆 分 子 网 通常 效果 很 好 。 处 于 同一 子 网 
上 的 计算 机 用 户 将 花费 大 多 数 时 间 进 行 子 网 内 部 的 通信 。 

客户 机 /服务 器 局 域 网 络 中 所 有 网 络 信息 流量 的 绝 大 多 数 在 于 客户 机 与 服务 器 两 者 之 间 。 
对 等 型 网 络 也 许 与 网 络 上 的 任何 其 他 计算 机 进行 通信 ， 也 就 是 说 这 种 网 络 拆 分 比较 困难 。 然 
而 ， 大 多 数 客户 机 花费 它们 的 大 多 数 时 间 与 单个 服务 器 进行 通信 ， 所 以 通常 可 以 简单 地 使 服 
务 器 成 为 每 个 子 网 的 一 部 分 。 

当 网 络 中 存在 多 台 服 务 器 时 这 种 方案 并 不 容易 实现 ， 但 是 仍然 可 以 识别 每 台 客 户 机 通常 
与 哪 台 服 务 器 进行 通信 ， 而 把 那 台 客户 机 放置 于 该 服务 器 的 子 网 内 。 然 后 ， 通 过 把 所 有 服务 
器 连接 到 单一 高 速 子 网 ， 从 而 可 以 通过 更 高 速 链 路 与 其 他 服务 器 路 由 任何 信息 流量 ， 而 不 是 
升级 整个 网 络 的 链 路 技术 。 

当 客 户 计算 机 必须 访问 许多 不 同 的 服务 器 而 不 指定 某 台 具体 的 服务 器 时 ， 也 许 需 要 在 高 
速 主干 网 上 实现 多 个 服务 器 ， 使 用 专用 的 路 由 器 连接 客户 子 网 络 。 这 种 网 络 结构 存在 的 缺点 
是 需要 连接 到 主干 网 络 的 昂贵 的 路 由 器 。 这 也 意味 着 以 前 每 个 传输 到 服务 器 的 信息 包 必须 穿 
过 主干 网 络 ， 迫 使 主干 网 处 理 网 络 上 所 有 信息 流量 的 绝 大 多 数 信息 量 。 

有 些 时 候 ， 客 户 机 不 仅仅 要 访问 其 部 门 级 服务 器 ， 而 且 也 需要 访问 许多 其 他 服务 器 (如 
Intranet 服务 器 、 信 息 传递 服务 器 以 及 Internet 网 关 等 )。 一 种 简单 的 解决 方案 是 仅仅 把 所 有 服 
务 器 集中 于 主干 网 络 上 并 提供 到 那些 服务 器 的 路 由 ， 但 是 这 样 的 配置 也 许 把 客户 机 直接 连 到 
其 部 门 级 服务 器 ， 而 使 用 其 部 门 级 服务 器 提供 到 包含 其 他 服务 器 的 主干 网 络 的 路 由 。 注 意 ， 
剔除 主干 网 的 每 个 信息 提 都 会 使 主干 网 运行 速度 更 快 。 例 如 , 拥有 4 台 部 门 级 服务 器 的 网 络 ， 
将 能 够 处 理 其 客户 机 请 求 的 25%， 而 不 再 向 前 转发 至 骨干 网 ， 这 样 将 减少 主干 网 一 半 的 信息 
流量 。 所 减少 的 网 络 负荷 也 可 以 延迟 好 几 年 迁移 到 更 高 速 网 络 技术 的 时 间 。 

路 由 是 服务 器 显示 的 性 能 暗示 。 无 论 何 时 配置 服务 器 执行 路 由 功能 时 ， 都 应 该 周期 性 地 
监控 这 些 执行 路 由 功能 的 服务 器 ， 以 确保 这 些 服 务 器 不 会 导致 显著 的 网 络 瓶颈 。 如 果 这 些 服 
务 器 真 的 导致 了 网 络 瓶颈 ， 那 么 应 该 把 服务 器 移 到 部 门 内 部 ， 而 使 用 一 台 专 用 的 桥 或 路 由 器 
来 执行 路 由 功能 。 


7.5.3 提高 网 络 速度 


提高 网 络 速度 的 方式 对 于 提高 网 络 性 能 也 能 很 好 的 起 到 作用 ， 但 是 费用 很 昂贵 ， 因 为 这 
种 方式 需要 蔡 换 网 络 中 的 每 种 数据 链 路 设备 。 用 户 应 该 视 这 种 方式 为 主要 的 网 络 体系 结构 改 
变 ， 过 一 段 时 间 才 能 逐渐 地 实现 。 

如 果 不 可 能 再 减少 信息 流量 或 者 有 效 地 拆 分 子 网 ， 那 么 将 不 得 不 更 新 物理 数据 链 路 网 络 
协议 。 通常 ， 这 种 升级 就 是 指 从 以 太 网 (Ethemet) 或 令 牌 环 网 (Token Ring) 升 级 到 快速 以 太 网 
(Fast Ethernet) 或 者 光纤 分 布 式 数 据 接口 (Fiber Distributed Data Interface) 网 络 。 虽然 这 种 方式 比 
较 昂贵 ， 但 用 户 可 以 不 必 升 级 整个 网 络 ， 也 许 仅仅 升级 主干 网 技术 、 服 务 器 之 间 的 链 路 或 者 
某 个 子 网 至 更 高 速 网 络 就 可 以 了 。 使 用 网 络 监视 器 识别 网 络 上 的 大 信息 量 的 用 户 ， 并 首先 把 
那些 用 户 迁 移 到 更 快 的 网 络 协议 。 


7.6 性 能 自动 优化 


通常 情况 下 , 系统 管理 员 不 必 手动 来 调整 服务 器 的 性 能 , 因为 Windows Server 2003 的 自 
动 调 整 功能 对 于 大 多 数 用 户 及 大 多 数 环境 而 言 已 经 很 好 了 。Windows Server 2003 具有 很 多 先 
进 的 自我 性 能 调整 功能 。 优 化 Windows Server 2003 性 能 的 调整 包括 确定 哪 一 种 硬件 资源 处 于 
最 大 负荷 量 之 下 ， 然 后 减轻 该 负荷 量 。 虽 然 Windows Server 2003 配备 了 一 些 辅助 管理 工具 ， 
但 是 由 于 Windows Server 2003 的 自动 调整 特性 ， 通 常 可 以 不 使 用 那些 工具 。Windows Server 
2003 实现 了 许多 自动 化 性 能 优化 ， 其 中 包括 对 称 多 处 理 器 、 内 存 优化 、 优 化 线程 与 进程 和 磁 
盘 高 速 缓存 请 求 4 种 重要 的 性 能 优化 功能 。 


7.6.1 多 处 理 器 


Windows Server 2003 使 用 对 称 式 多 处 理 器 (Symmetric Multiprocessing)， 其 是 一 种 在 多 个 
处 理 器 之 间 均 衡 分 配 总 处 理 负荷 量 的 技术 。 较 简单 的 操作 系统 使 用 非 对 称 式 多 处 理 器 
(asymmetric Multiprocessing)。 非 对 称 式 多 处 理 器 根据 一 些 基 于 非 负荷 量 尺 度 来 分 配 处 理 负 
载 。 通 常 ， 那 些 操作 系统 把 所 有 系统 任务 放 在 一 个 处 理 器 上 ， 而 所 有 的 用 户 任务 放 在 剩余 的 
处 理 器 上 。 

处 理 器 之 间 的 时 间 安 排 与 资源 分 配 也 要 花费 计算 机 时 间 ， 也 就 意味 着 2 台 处 理 器 的 处 理 
速度 并 不 是 1 台 处 理 器 处 理 速度 的 2 倍 。 带 有 2 台 处 理 器 的 Windows Server 2003 计算 机 通常 
是 1 台 微 处 理 器 Windows Server 2003 计算 机 速度 的 1.5 倍 , 这 主要 依赖 于 所 运行 程序 的 类 型 。 
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\ .03 系统 管理 时 


而 仅仅 存在 一 个 线程 的 应 用 程序 不 可 能 运行 于 多 个 处 理 器 系统 中 。 

在 许多 计算 问题 中 ， 线 程 依赖 于 由 其 他 线程 所 提供 的 结果 。 这 种 情况 就 像 接 力 赛 一 样 ， 
运动 员 开始 起 跑 之 前 ， 必 须 等 待 接力 棒 。 显 然 ， 把 这 些 线程 分 配 在 多 个 处 理 器 间 并 不 能 使 应 
用 程序 的 运行 速度 更 快 。 多 处 理 器 最 适 于 大 型 计算 数据 集 ， 它 可 以 拆 分 数据 块 单独 完成 。 


7.6.2 ”内存 优化 


Windows Server 2003 执行 了 许多 优化 ， 以 便 最 高 效 地 利用 随机 存储 器 (RAM)， 在 
Windows Server 2003 中 把 内 存 分 配 成 称 为 页 的 4KB 数据 块 。 每 一 页 可 以 仅仅 由 一 个 线程 使 
用 , 一 个 线程 可 以 存储 在 任意 数目 的 页 面 中 。 其 结果 就 是 ，13KB 的 线程 实际 上 占用 了 16KB 
的 RAM， 因 为 最 后 一 页 所 剩余 的 3KB 不 可 能 由 任何 其 他 线程 使 用 。 

一 些 操 作 系 统 使 用 64KB 页 面 最 大 限度 提高 信息 交换 度 (64KB 是 传输 到 SCSI 及 IDE 硬 
盘 单 一 数 块 的 最 大 尺寸 )。 不 幸 的 是 ， 这 种 优化 迫使 每 个 线程 最 少 占 用 64KB。 如 果 要 执行 的 
线程 平均 大 小 为 56KB， 那 么 RAM 的 25% 就 浪费 在 未 使 用 的 存储 器 碎片 上 。Windows Server 
2003 为 了 使 更 多 物理 内 存 可 用 , 减少 数据 交换 的 必要 性 , 而 丢弃 了 64KB 页 面 大 小 的 存储 区 。 

系统 必须 有 足够 的 内 存 来 存储 所 有 正在 执行 的 线程 。 如 果 内 存 总 量 不 足 ， 那 么 Windows 
Server 2003 就 通过 将 当前 未 使 用 的 内 存 页 面 交换 到 被 称 为 虚拟 内 存 交 换文 件 (Pagefile.sys) 的 
系统 文件 中 来 仿真 系统 内 存 。 当 系统 需要 交换 到 磁盘 上 的 页 面 时 ，Windows Server 2003 将 硬 
盘 的 页 面 与 RAM 中 的 页 面 进行 交换 。 这 种 过 程 对 于 线程 而 言 完全 透明 ， 线 程 并 不 需要 了 解 
内 存 交 换 的 任何 情况 。 

所 拥有 的 内 存 越 多 , 页面 交 换 所 花费 的 时 间 也 就 越 少 内 存 少 于 64MB 的 Windows Server 
2003 系统 将 花费 大 量 的 时 间 进 行内 存 页 面 与 虚拟 内 存 页 文件 的 交换 , 尤其 是 在 同时 运行 多 个 
应 用 程序 时 更 是 如 此 。 这 种 交换 活动 显著 地 减 慢 了 计算 机 的 速度 ， 因 为 硬盘 与 物理 RAM 相 
比 速度 要 慢 很 多 。 

页 面 交换 得 越 快 对 系统 响应 性 能 的 影响 就 越 低 。 为 了 加 速 页 面 交 换 过 程 , Windows Server 
2003 支持 其 虚拟 内 存 页 面 交换 文件 同时 写 入 多 块 硬盘 。 因 为 物理 驱动 器 可 以 同时 运转 ， 可 以 
把 虚拟 内 存 页 交换 文件 分 配 于 多 块 不 同 硬盘 之 间 ， 这 将 允许 花费 的 处 理 虚拟 内 存 交换 页 面 的 
时 间 与 物理 硬盘 的 数目 成 反比 。 

虽然 Windows Server 2003 允许 将 虚拟 内 存 交 换文 件 分 布 于 同一 硬盘 的 不 同 卷 之 间 , 但 
是 这 样 做 并 没有 与 性 能 相关 的 原因 。 事 实 上 ， 这 种 配置 由 于 迫使 驱动 器 头 在 交换 期 间 的 移动 
次 数 大 大 超过 了 正常 的 移动 次 数 ， 所 以 增加 了 交换 时 间 。 因 此 ， 每 块 物理 磁盘 上 建议 用 户 仅 
设置 一 个 交换 文件 。 


7.6.3 ”优先 线程 与 进程 


在 多 任务 操作 系统 中 ， 如 果 每 个 进程 的 每 个 线程 都 获得 相同 的 处 理 机 时 间 而 不 分 先后 ， 
那么 计算 机 将 缓慢 地 响应 用 户 的 请 求 。 而 诸如 移动 鼠标 、 光 标 或 者 更 新 屏幕 之 类 的 系统 进程 
必须 随时 发 生 ， 这 几 种 进程 远 比 其 他 的 系统 进程 更 经 常 。 

Windows Server 2003 根据 线程 对 系统 响应 能 力 的 重要 性 , 或 者 线程 不 得 不 及 时 响应 外 部 
(实时 ) 事 件 请 求 的 优先 级 来 处 理 每 个 线程 。Windows Server 2003 虽然 默认 地 执行 许多 设置 线 
程 的 工作 ， 但 是 Microsoft 不 可 能 精确 地 预计 用 户 将 如 何 使 用 计算 机 ， 所 以 Microsoft 把 调整 
线程 优先 级 的 权力 留 给 了 用 户 。 

在 进程 的 优先 权 范围 内 ， 优 先 级 别 从 0-31， 进 程 的 起 始 优先 权 为 7。 进程 的 每 个 线程 继 
承 了 该 进程 的 基 优 先 权 7。 随 着 系统 的 运行 ，Windows Server 2003 可 以 向 上 或 向 下 浮动 2 个 
优先 权 级 别 且 自 动 地 进行 ， 允 许 系统 可 以 优先 处 理 时 就 优先 处 理 。 用 户 也 可 以 以 比 正常 优先 
权 更 高 的 优先 权 开始 执行 进程 。 

实时 应 用 程序 的 优先 权 最 高 为 23， 这 些 实时 进程 很 频繁 地 请 求 处 理 机 时 间 ， 以 确保 这 些 
实时 进程 可 以 响应 外 部 实时 事件 。 必 须 响应 硬件 事件 的 驱动 程序 与 运行 于 这 些 优先 权 级 别 上 
的 设备 所 需要 的 注意 时 间 密 切 相 关 。 

只 有 管理 员 可 以 以 高 于 23 优先 权 的 级 别 启动 进程 ， 这 些 进 程 需要 如 此 多 的 处 理 器 时 间 ， 
以 致 于 使 其 他 进程 运行 很 慢 。 如 果 以 这 样 高 的 优先 权 启动 一 个 正规 的 应 用 程序 甚至 会 使 移动 
鼠标 这 样 的 进程 也 变 得 很 慢 ， 而 且 很 费力 。 


7.6.4 ”磁盘 请 求 缓冲 


Windows Server 2003 的 IO 系统 包括 一 个 磁盘 缓冲 管理 器 组 件 ， 通 过 在 RAM 中 维持 经 
常 访问 的 文件 而 减少 磁盘 访问 。 磁 盘 缓 冲 管理 器 有 助 于 提高 IO 系统 的 性 能 。 

磁盘 缓冲 的 特点 如 下 。 

e 缓冲 机 制 是 动态 的 。 

e 随 可 用 RAM 的 数量 不 同 而 不 断 改变 文件 缓冲 大 小 。 

e 操作 系统 不 需要 的 内 存 都 可 用 作 缓 冲 。 

e 自 适 应 的 缓冲 机 制 为 应 用 程序 提供 了 文件 IO 性 能 的 优化 。 

磁盘 缓冲 管理 器 使 用 任何 系统 中 的 可 用 内 存 。 如 果 用 户 查询 系统 中 可 用 内 存 的 数量 ， 它 
或 许 会 显示 几乎 所 有 内 存 都 被 使 用 。 这 是 因为 磁盘 缓冲 管理 器 利用 了 所 有 可 用 内 存 。 如 果 
Windows Server 2003 需要 这 些 内 存 ， 磁 盘 缓 冲 管理 器 就 会 释放 它 。 

Windows Server 2003 系统 中 的 这 种 缓冲 区 的 大 小 是 不 允许 人 为 调整 的 。 因 为 它 受 到 系统 
中 使 用 的 资源 及 动态 应 用 程序 的 影响 。 
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Windows Server 2003 的 磁盘 管理 技术 主要 用 于 管理 计算 机 的 磁 
盘 、 各 种 卷 或 者 分 区 系统 ， 以 提高 磁盘 的 利用 率 和 确保 系统 访问 的 便 
捷 与 高 效 ， 同 时 提高 系统 文件 的 安全 性 、 可 靠 性 、 可 用 性 和 可 伸缩 性 。 
现在 ，Windows Server 2003 在 磁盘 管理 方面 引入 了 新 的 增强 功能 ， 
使 得 管理 及 维护 磁盘 和 卷 、 备 份 和 恢复 数据 及 连接 存储 区 域 网 络 (SAN) 
更 为 简易 和 可 靠 。 本 章 将 从 磁盘 的 基本 概念 开始 逐步 分 析 基 本 磁盘 、 
动态 磁盘 和 容错 磁盘 的 管理 应 用 ， 以 及 进行 磁盘 连接 、 磁 盘 配 额 和 磁 
盘整 理 等 高 级 功能 的 方法 。 


(So rink 


— 
谍 ” 创 建 磁盘 分 区 
扩 ”创建 简单 卷 
谍 ” 磁盘 碎 片 整理 
扩 ” 磁 盘 配 额 管理 
访 ”磁盘 连接 技术 
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8.1 Windows 磁盘 概述 


磁盘 就 是 通常 意义 上 的 硬盘 ， 在 使 用 之 前 都 必须 先进 行 分 区 并 决定 所 要 使 用 的 文件 系统 。 
Windows Server 2003 根据 磁盘 分 区 的 方式 不 同 将 磁盘 分 为 两 种 类 型 : 基本 磁盘 和 动态 磁盘 。 


8.1.1 基本 磁盘 的 概念 


基本 磁盘 就 是 采用 传统 的 磁盘 分 区 方式 进行 分 区 的 磁盘 。DOS、Windows 9x/NT/2000 等 
操作 系统 都 支持 和 使 用 的 磁盘 类 型 都 可 归 为 基本 磁盘 类 。Windows Server 2003 默认 的 也 是 采 
用 基本 磁盘 。 基 本 磁盘 在 使 用 前 需要 进行 分 割 ， 形 成 一 块 或 几 块 较 小 的 磁盘 空间 ， 这 些 磁盘 
空间 被 称 为 磁盘 分 区 。 

基本 磁盘 的 磁盘 分 区 又 可 以 分 为 两 种 ， 主 分 区 和 扩展 分 区 。 

1. 主 分 区 


主 分 区 又 称 为 主 磁盘 分 区 ， 是 用 来 启动 操作 系统 的 分 区 ， 也 就 是 系统 的 引导 文件 所 在 的 
分 区 。 通 常 计算 机 在 检查 系统 配置 之 后 会 自动 在 物理 硬盘 上 按照 设置 找到 主 分 区 ， 然 后 在 这 
个 主 分 区 中 寻找 用 来 启动 系统 的 引导 文件 。 每 块 基本 磁盘 最 多 可 以 被 划分 成 4 个 主 分 区 ， 主 
分 区 的 大 小 可 以 和 实际 的 物理 硬盘 的 大 小 一 样 或 者 小 于 其 容量 。 当 主 分 区 被 划分 好 之 后 通常 
使 用 盘 符 “C:”。 

2. 扩展 分 区 


在 划分 好 磁盘 主 分 区 之 后 ， 剩 余 的 空间 就 可 以 被 划分 为 扩展 分 区 。 一 般 情况 下 ， 每 块 硬 
盘 上 只 能 有 一 个 扩展 分 区 ， 也 就 是 说 磁盘 空间 中 除了 主 分 区 以 外 的 所 有 空间 都 是 扩展 分 区 。 
扩展 分 区 不 能 用 来 启动 操作 系统 ， 并 且 扩展 分 区 划分 好 以 后 不 能 直接 被 赋予 盘 符 ， 必 须要 在 
其 中 划分 逻辑 驱动 器 之 后 才 可 以 使 用 。 逻 辑 驱动 器 是 在 扩展 分 区 内 进行 划分 的 。 划 分 后 每 个 
逻辑 驱动 器 就 可 以 被 赋予 盘 符 “D:”、“E:” 等 。 


8.1.2 ”动态 磁盘 的 概念 


动态 磁盘 的 概念 最 先是 在 Windows Server 2000 中 提出 的 ， 然 后 在 Windows Server 2003 
中 得 到 了 更 好 的 支持 。 对 于 动态 磁盘 一 般 并 不 使 用 分 区 的 概念 ， 而 是 使 用 动态 卷 (Volume) 来 
称呼 动态 磁盘 上 的 可 划分 区 域 。 动 态 卷 的 使 用 方式 与 基本 磁盘 的 主 分 区 或 逻辑 驱动 器 的 操作 
相似 ， 也 可 以 为 其 指派 驱动 器 盘 符 。 

1. 动态 磁盘 的 特点 


与 基本 磁盘 相 比 ， 动 态 磁盘 的 优点 比较 突出 : 动态 磁盘 的 卷 数 目 不 受 限制 ， 基 本 磁盘 由 
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于 受到 分 区 表 的 限制 ， 最 多 只 能 建立 4 个 磁盘 分 区 ;动态 磁盘 则 不 使 用 分 区 表 ， 而 是 将 相关 
的 信息 另外 记录 在 一 个 小 型 数据 库 中 ， 使 动态 磁盘 上 可 以 容纳 4 个 以 上 的 卷 ; 而 且 同 一 台 计 
算 机 上 的 动态 磁盘 都 会 复制 彼此 数据 库 的 内 容 , 进而 提高 了 容错 程度 ; 它 不 像 基本 磁盘 那样 ， 
一 旦 磁盘 的 分 区 表 损 坏 ， 就 不 能 恢复 其 中 的 数据 了 。 

动态 调整 卷 时 ， 可 以 不 像 使 用 基本 磁盘 时 那样 ， 在 每 次 添加 、 删 除 磁盘 分 区 后 都 必须 重 
新 启动 才能 生效 。 如 果 在 动态 磁盘 上 建立 、 删 除 、 调 整 卷 的 话 ， 不 需要 经 过 重新 启动 就 能 生 
效 ， 大 大 提高 了 磁盘 处 理 的 方便 性 。 而 且 当 在 动态 磁盘 上 还 有 未 分 配 的 空间 时 ， 可 以 将 这 些 
空间 变 成 现成 卷 的 一 部 分 ， 动 态 扩展 卷 的 大 小 ， 也 不 需要 重新 启动 。 

Windows Server 2003 在 支持 动态 磁盘 操作 的 同时 仍然 保留 了 基本 磁盘 , 其 主要 原因 在 于 
兼容 性 的 限制 ,因为 当前 只 有 Windows Server 2000、Windows Server 2003 操作 系统 才能 访问 
动态 磁盘 ， 如 果 还 想 使 用 Windows 9x 或 其 他 操作 系统 ， 就 不 适合 使 用 动态 磁盘 。 

2. 卷 的 分 类 


动态 磁盘 可 以 支持 5 种 类 型 的 动态 卷 ， 其 中 两 种 为 非 磁盘 阵列 卷 ， 其 余 3 种 属于 磁盘 阵 
列 卷 。 这 5 种 类 型 的 卷 与 基本 磁盘 中 的 主 分 区 或 逻辑 驱动 器 的 操作 类 似 ， 可 以 将 卷 格式 化 为 
FAT、FAT32 或 NTFS 格式 的 文件 系统 ， 同 样 也 可 以 指派 驱动 器 盘 符 而 成 为 驱动 器 。 

下 面 就 简单 介绍 一 下 这 5 种 类 型 的 动态 卷 。 

e 简单 卷 : 必须 建立 在 同一 块 硬盘 上 的 连续 空间 ， 创 建 好 之 后 也 可 扩展 至 同 硬盘 的 非 

连续 空间 。 

e 跨 区 卷 : 可 由 两 块 或 多 块 硬盘 上 的 存储 空间 组 成 ， 每 块 硬盘 所 提供 的 磁盘 空间 可 以 

不 相同 。 例 如 ， 第 一 块 硬盘 提供 400MB 的 空间 ， 第 二 块 硬盘 提供 500MB 的 空间 
所 组 合 起 来 的 跨 区 卷 就 有 900MB 的 空间 。 

。 带 区 卷 ， 其 功能 同 跨 区 卷 类 似 ， 也 是 使 用 两 块 或 两 块 以 上 硬盘 所 组 成 ， 但 是 每 块 硬 
盘 所 贡献 的 空间 大 小 必须 相同 。 当 将 文件 存 到 带 区 卷 时 ， 系 统 会 将 数据 分 散 存 于 等 
量 磁盘 位 于 各 块 硬盘 的 空间 。 若 配合 支持 DMA 的 硬件 设备 , 将 可 提高 文件 的 访问 效 
率 ， 并 降低 CPU 的 负荷 。 

e 镜像 卷 ， 它 的 构成 同 带 区 卷 相 似 ， 只 是 带 区 卷 并 未 提供 容错 功能 。 换 言 之 ， 若 其 中 
的 任意 一 块 硬盘 发 生 故障 ， 就 不 能 读 出 磁盘 中 的 数据 了 。 镜 像 卷 则 是 利用 两 块 硬盘 
中 相同 大 小 的 磁盘 空间 所 组 成 ， 存 放 数 据 时 会 在 两 块 硬盘 上 各 存 一 份 。 

。 RAID-5 卷 : 也 是 具有 容错 功能 的 磁盘 阵列 ， 需 要 使 用 至 少 3 块 硬盘 才能 建立 ,每 块 
硬盘 必须 提供 相同 的 磁盘 空间 。 使 用 RAID-5 卷 时 , 数据 除了 会 分 散 写 入 各 块 硬盘 中 
外 ， 也 会 同时 建立 一 份 奇偶 校 验 数据 信息 ， 保 存在 不 同 的 硬盘 上 。 例 如 ， 若 以 4 块 
硬盘 建立 RAID-5 卷 ， 那么 第 一 组 数据 可 能 分 散 存 于 第 1、2、3 块 硬盘 中 ， 而 校 验 信 
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息 则 写 到 第 4 块 硬盘 上 ， 但 下 一 组 数据 则 可 能 存 于 第 1、2、4 块 硬盘 ， 校 验 则 存 于 
第 3 块 硬盘 上 。 当 有 一 块 硬盘 发 生 故 障 时 ， 可 以 由 剩余 的 磁盘 数据 结合 校 验 信息 计 
算出 该 硬盘 上 原 有 的 数据 。 而 且 与 镜像 卷 相 比 ，RAID-5 卷 有 较 高 的 磁盘 利用 率 。 
后 面 章 节 会 详细 介绍 使 用 RAID-5 卷 来 进行 容错 磁盘 管理 。 


8.2 Windows 磁盘 管理 


Windows Server 2003 提供 的 磁盘 管理 功能 包括 基本 磁盘 、 动 态 磁盘 和 容错 磁盘 的 管理 ， 
并 把 磁盘 管理 的 功能 集成 在 “计算 机 管理 ”的 控制 台中 ， 系 统管 理 员 可 以 很 方便 地 通过 该 控 
制 台 进行 创建 分 区 或 卷 等 磁盘 管理 操作 。 


8.2.1 基本 磁盘 的 管理 


在 Windows Server 2003 中 , 基本 磁盘 的 管理 主要 体现 在 创建 或 删除 磁盘 分 区 、 建 立 罗 辑 
驱动 器 、 格 式 化 磁盘 分 区 和 把 基本 磁盘 升级 到 动态 磁盘 等 操作 。 

对 于 一 块 物理 磁盘 ， 在 划分 分 区 之 前 是 不 能 使 用 的 ， 所 以 首先 需要 为 基本 磁盘 创建 磁盘 
分 区 。 基 本 磁盘 上 的 分 区 包括 主 分 区 和 扩展 分 区 ， 而 在 扩展 分 区 中 可 以 进一步 划分 出 一 个 或 
多 个 逻辑 驱动 器 。 逻 辑 驱 动 器 就 是 在 扩展 分 区 内 划分 的 ， 在 指派 了 驱动 器 盘 符 以 后 就 可 以 直 
接 存放 数据 了 。 

下 面 就 介绍 一 下 创建 和 管理 磁盘 分 区 的 具体 步骤 。 

1. 创建 磁盘 主 分 区 

(1) 通过 “开始 ”菜单 ， 选 择 “ 管 理工 具 ”|“ 计 算 机 管理 ”命令 ， 打 开 “ 计 算 机 管理 
控制 台 窗 口 ， 在 该 窗口 左边 区 域 的 项 目 列表 中 选择 “磁盘 管理 ”选项 ， 如 图 8-1 所 示 。 

(2) 如 果 要 创建 磁盘 主 分 区 ， 可 以 在 “计算 机 管理 ”窗口 右边 显示 的 未 分 区 的 磁盘 图 标 
上 右 击 ， 从 弹出 的 快捷 菜单 中 选择 “新 建 磁盘 分 区 ”命令 ， 打 开 “ 新 建 磁 盘 分 区 向 导 ” 对 话 
框 ， 如 图 8-2 所 示 。 
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图 8-1 “计算 机 管理 ”窗口 图 8-2 “新 建 磁盘 分 区 向 导 ” 对 话 框 
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(3) 单 击 “ 下 一 步 ” 按 钮 ， 在 打开 的 “选择 分 区 类 型 ”对 话 框 中 选择 所 要 创建 的 分 区 类 
型 ， 只 能 选择 创建 主 磁盘 分 区 或 扩展 磁盘 分 区 。 因 为 磁盘 分 区 时 需要 先 创建 主 分 区 ， 所 以 此 
处 选择 “ 主 磁盘 分 区 ” 单 选 按钮 ， 如 图 8-3 所 示 。 

(4) 选择 创建 磁盘 主 分 区 之 后 ， 单 击 “ 下 一 步 ” 按 钮 在 “指定 分 区 大 小 ”对 话 框 中 需 
要 指定 主 分 区 的 大 小 ， 同 时 列 出 了 可 选择 的 最 大 和 最 小 的 磁盘 分 区 空间 量 ， 需 要 创建 的 分 区 
的 大 小 可 以 由 用 户 根据 实际 情况 具体 设置 ， 如 图 8-4 所 示 。 


新 建 磁 盘 分 区 向 导 x 
选择 分 区 类 型 
有 三 种 磺 入 分 区 主要、 扩展 和 浊 辑 。 & 7] FEEEEEET3 A 


Et 指定 分 区 大 小 ~ 
让 所 人 最 大 和 小 必 的 刚 区 大 小 Y 


职 滑 ed) TE mW 
图 8-3 “选择 分 区 类 型 ”对 话 杠 8-4 “指定 分 区 大 小 ”对 话 框 


(5) 在 指定 了 磁盘 的 主 分 区 大 小 之 后 ， 单 击 “ 下 一 步 ”按钮 打开“ 指派 驱动 器 号 和 路 
径 ” 对 话 框 ， 要 求 为 新 创建 的 主 分 区 指派 一 个 驱动 器 号 。 也 可 以 将 分 区 装 入 一 个 支持 驱动 器 
路 径 的 空 文件 夹 中 ， 但 该 文件 夹 必须 是 在 NTFS 分 区 中 ， 这 样 操作 该 磁盘 分 区 时 就 像 是 在 操 
作 某 个 文件 夹 一 样 。 当 然 ， 也 可 以 先 不 指派 驱动 器 号 或 路 径 ， 而 在 后 续 操作 中 再 进行 设置 ， 
如 图 8-5 所 示 。 

(6) 继续 单 击 “ 下 一 步 ” 按 钮 ， 分 区 向 导 会 要 求 格式 化 刚 创建 的 主 分 区 。 关 于 格式 化 的 
操作 将 在 后 面 详 细 介绍 ， 此 处 按照 向 导 页 的 指示 逐步 操作 即 可 ， 最 后 单 击 “完成 ”按钮 ， 系 
统 就 完成 了 创建 磁盘 主 分 区 的 操作 ， 如 图 8-6 所 示 。 
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Isess======== ws 


不 指派 驱动 器 号 或 骤 动 器 路 径 D) 


取消 
图 8-5 “指定 驱动 器 号 和 路 径 ” 对 话 框 图 8-6 “创建 完成 ”对 话 杠 
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局) 基山 乱 理 上 


2. 磁盘 扩展 分 区 


创建 磁盘 扩展 分 区 与 创建 主 分 区 的 步骤 类 似 ， 可 参考 前 面 的 操作 步骤 。 

(1) 在 “计算 机 管理 ”窗口 中 的 未 分 配 空间 的 磁盘 图 标 上 右 击 ， 从 弹出 的 快捷 菜单 中 选 
择 “ 新 建 磁盘 分 区 ”命令 ， 进 入 “新 建 磁盘 分 区 向 导 ”， 在 “选择 分 区 类 型 ”对 话 框 中 选择 
“扩展 磁盘 分 区 ” 单 选 按钮 ， 如 图 8-7 所 示 。 

(2) 单 击 “ 下 一 步 ” 按 钮 ， 在 “指定 分 区 大 小 ”对 话 框 中 列 出 了 可 选择 的 最 大 和 最 小 的 
磁盘 分 区 空间 ， 并 要 求 指定 待 创建 的 分 区 的 大 小 ， 如 图 8-8 所 示 。 
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图 8-7 “选择 分 区 类 型 ”对 话 框 8-8 “指定 分 区 大 小 ”对 话 框 


(3) 然后 在 向 导 的 提示 下 ， 逐 步 进行 设置 ， 指 定 要 分 配给 创建 的 扩展 分 区 的 驱动 器 号 ， 
再 按照 后 面 将 要 介绍 的 格式 化 分 区 方法 对 分 区 选择 是 否 格式 化 ， 最 后 单 击 “ 完 成 ”按钮 ， 系 
统 即 可 完成 创建 磁盘 扩展 分 区 的 操作 。 


3. 创建 磁盘 逻辑 驱动 器 


创建 完 磁盘 的 扩展 分 区 之 后 ， 才 能 把 文件 存放 在 扩展 分 区 中 。 但 还 不 能 直接 使 用 扩展 分 
区 ， 因 为 操作 系统 不 能 直接 将 文件 保存 到 扩展 分 区 ， 所 以 ， 必 须 在 扩展 分 区 内 建立 逻辑 驱动 
器 ， 才 能 在 其 中 保存 数据 。 

在 磁盘 扩展 分 区 中 创建 一 个 或 多 个 逻辑 驱动 器 的 具体 步骤 如 下 。 

(1) 在 扩展 分 区 中 标 为 “可 用 空间 ”的 磁盘 图 标 上 右 击 ， 从 弹出 的 快捷 菜单 中 选择 “新 
建 逻辑 驱动 器 ”命令 ， 如 图 8-9 所 示 。 

(2) 在 打开 的 “新 建 磁盘 分 区 向 导 ” 中 ， 根 据 可 创建 的 磁盘 最 大 和 最 小 空间 量 来 指定 实 
际 的 分 区 大 小 ， 如 图 8-10 所 示 。 

(3) 单 击 “ 下 一 步 ” 按 钮 ， 在 弹出 的 对 话 框 中 指定 驱动 器 号 ， 然 后 单 击 “完成 ”按钮 ， 
系统 就 会 创建 一 个 逻辑 驱动 器 ， 这 样 用 户 就 可 以 进行 文件 的 存储 和 读 取 了 。 
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图 8-10 “指定 逻辑 驱动 器 分 区 大 小 


8-9 ”新 建 逻辑 驱动 器 


4. 格式 化 磁盘 分 区 


格式 化 磁盘 分 区 的 主要 目的 是 为 了 在 分 区 空间 建立 文件 系统 ， 在 Windows Server 2003 
系统 下 推荐 采用 NTFS 格式 的 文件 系统 。 通 常 格式 化 磁盘 分 区 的 任务 可 以 在 每 个 分 区 创建 的 
时 候 立 即 执行 ， 也 可 以 在 全 部 分 区 创建 完 之 后 再 集中 进行 格式 化 。 

格式 化 磁盘 分 区 的 具体 操作 步骤 如 下 。 

(1) 在 新 建 的 磁盘 主 分 区 或 逻辑 驱动 器 图 标 上 右 击 ， 从 弹出 的 快捷 菜单 中 选择 “格式 化 ” 
命令 ， 如 图 8-11 所 示 。 

(2) 在 打开 的 “格式 化 ”对 话 框 中 ， 可 以 选择 要 使 用 的 文件 系统 ， 一 般 有 FAT、FAT32 
和 NTEFS 格式 等 类 型 。 为 配合 使 用 Windows Server 2003 强大 的 磁盘 管理 功能 ,推荐 把 磁盘 格 
式 化 为 NTFS 格式 。 接 着 指定 分 配 空 间 的 大 小 ， 一 般 采 用 默认 值 。 然 后 在 “ 卷 标 ”文本 框 中 
输入 分 区 (或 逻辑 驱动 器 ) 的 名 称 。 如 果 选 中 “执行 快速 格式 化 ” 复 选 框 ， 则 在 格式 化 之 前 不 
执行 对 磁盘 坏 扇 区 的 检测 ， 当 格式 化 镜像 集 和 带 奇 偶 校 验 的 带 区 集 时 ， 此 复 选 框 将 不 可 用 。 
如 果 前 面 选择 的 文件 系统 类 型 为 NTFS， 还 可 以 选中 “启动 文件 和 文件 夹 压缩 ” 复 选 框 ， 以 
便 节省 更 多 的 磁盘 空间 ， 如 图 8-12 所 示 。 
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图 8-11 格式 化 磁盘 分 区 


图 8-12 设置 格式 化 参数 
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(3) 单 击 “ 确 定 ” 按 钮 ， 系 统 开 始 格式 化 。 然 后 在 弹出 的 警告 框 中 单 击 “ 确 认 ” 按 钮 
即 可 。 


Senvern 


5. 从 基本 磁盘 升级 到 动态 磁盘 


动态 磁盘 是 一 种 高 级 的 磁盘 管理 模式 ， 在 Windows Server 2003 的 “计算 机 管理 ”控制 台 
窗口 中 可 以 直接 将 当前 的 磁盘 由 基本 磁盘 模式 升级 为 动态 磁盘 模式 。 当 从 基本 磁盘 升级 到 动态 
磁盘 时 ， 必 须 在 磁盘 中 保留 至 少 1MB 未 分 配 的 空间 。 当 通过 向 导 创建 分 区 时 ， 系 统 会 自动 保 
留 这 一 未 分 配 的 空间 。 但 是 如 果 之 前 使 用 过 其 他 操作 系统 , 那 就 可 能 无 法 保留 这 样 一 块 空间 了 。 


A 


在 升级 基本 磁盘 之 前 ， 必 须 先 关闭 在 该 磁盘 上 运行 的 所 有 程序 。 


下 面 将 介绍 从 基本 磁盘 升级 到 动态 磁盘 的 具体 步骤 。 

(1) 在 “计算 机 管理 ”窗口 中 右 击 需要 进行 升级 的 基本 磁盘 图 标 ， 从 弹出 的 快捷 菜单 中 选 
择 “ 转 换 到 动态 磁盘 ”命令 ， 如 图 8-13 所 示 。 需 要 注意 的 是 ， 如 果 是 在 分 区 、 卷 或 驱动 器 上 
右 击 ， 或 者 当前 磁盘 已 是 动态 磁盘 ， 则 弹出 的 快捷 菜单 中 没有 “转换 到 动态 磁盘 ”命令 。 

(2) 在 打开 的 “转换 为 动态 磁盘 ”对 话 框 中 列 出 了 本 地 计算 机 中 所 有 可 用 的 基本 磁盘 ， 
选择 要 升级 的 一 个 或 多 个 基本 磁盘 ， 然 后 单 击 “ 确 定 ” 按 钮 ， 如 图 8-14 所 示 。 
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图 8-13 ”从 基本 磁盘 升级 到 动态 磁盘 图 8-14 选择 要 升级 的 基本 磁盘 


(3) 在 打开 的 “要 转换 的 磁盘 ”对 话 框 中 进一步 确认 要 升级 的 基本 磁盘 ， 并 显示 要 转换 
的 磁盘 的 内 容 和 名 称 ， 如 图 8-15 所 示 。 

在 “要 转换 的 磁盘 ”对 话 框 中 单 击 “ 详 细 信息 ”按钮 ， 可 以 查看 待 升级 的 基本 磁盘 的 详 
细 信 息 (如 分 区 情况 等 )， 如 图 8-16 所 示 。 
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图 8-15 要 转换 的 基本 磁盘 信息 图 8-16 ”要 转换 的 磁盘 的 详细 信息 


(4) 单 击 “ 要 转换 的 磁盘 ”对 话 框 中 的 “转换 ”按钮 ， 系 统 会 弹出 一 个 信息 框 ， 说 明基 
本 磁盘 一 旦 升级 为 动态 磁盘 后 ,将 无 法 从 这 些 磁盘 的 卷 启动 其 他 已 安装 的 操作 系统 , 单 击 “ 是 ” 
按钮 即 可 开始 磁盘 升级 ， 如 图 8-17 所 示 。 

(5) 系统 完成 磁盘 升级 以 后 ， 在 “计算 机 管理 ”窗口 中 可 以 看 到 原来 的 基本 磁盘 已 经 转 
换 成 动态 磁盘 了 ， 如 图 8-18 所 示 。 
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图 8-17 升级 前 的 提示 信息 框 图 8-18 升级 后 的 动态 磁盘 


当 从 基本 磁盘 升级 到 动态 磁盘 后 ， 就 可 以 创建 动态 卷 。 后 面 将 介绍 各 种 动态 卷 的 创建 和 
管理 过 程 。 


从 基本 磁盘 升级 到 动态 磁盘 上 时， 如果 磁盘 含有 和 窄 盖 多 个 磁盘 的 卷 (如 镜像 集 、 带 区 集 
等 )， 则 必须 全 部 升级 卷 中 的 所 有 磁盘 。 将 包含 系统 分 区 或 启动 分 区 的 基本 磁盘 升级 到 动 
态 磁 盘 后 ， 那 些 分 区 会 变 为 简单 系统 卷 或 启动 卷 。 如 果 磁 盘 上 了 既 含 有 系统 或 启动 分 区 ， 
又 包含 卷 集 (或 带 区 集 、 镜 像 集 ) 的 一 部 分 ， 则 不 能 升级 该 磁盘 。 

另外 ,需要 特别 注意 的 是 ， 把 基本 磁盘 升级 到 动态 磁盘 之 后 ， 将 无 法 直接 将 动态 
卷 转 回 到 基本 磁盘 分 区 。 唯一 的 方法 就 是 先 删 除 该 磁盘 上 的 所 有 动态 卷 , 然后 执行 “ 返 
回 基本 磁盘 ”命令 。 但 在 此 过 程 中 ， 磁 盘 上 的 所 有 数据 都 将 丢失 ， 要 提前 做 好 准备 好 
备份 。 
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8.2.2 ”动态 磁盘 的 管理 


在 动态 磁盘 中 ， 采 用 卷 (Volume) 来 称呼 动态 磁盘 上 可 制定 驱动 器 代号 的 区 域 ， 在 将 基本 
磁盘 升级 到 动态 磁盘 之 后 便 可 以 创建 动态 卷 了 ,动态 卷 的 概念 是 在 Windows Server 2000 中 首 
先 提出 的 ， 并 在 Windows Server 2003 中 得 到 很 好 的 支持 和 加 强 。 使 用 动态 磁盘 ， 系 统 将 不 再 
限制 每 个 磁盘 仅 使 用 4 个 动态 卷 。 

动态 卷 分 为 5 种 类 型 : 简单 卷 、 跨 区 卷 、 镜 像 卷 、 带 区 卷 和 RAID-5 卷 ， 下 面 将 分 别 介 
绍 各 种 动态 卷 的 创建 和 管理 过 程 。 


1. 简单 郑 


简单 卷 是 动态 磁盘 的 一 部 分 ， 但 它 在 使 用 中 就 像 是 物理 上 的 一 个 独立 单元 。 当 用 户 只 有 
一 个 动态 磁盘 时 ， 简 单 卷 是 唯一 可 以 创建 的 卷 。 

下 面 介绍 创建 简单 卷 的 具体 操作 步骤 。 

(1) 打开 “计算 机 管理 ”控制 台 窗口 ， 选 择 “ 磁 盘 管 理 ” 选 项 ， 在 一 个 具有 未 分 配 空间 
的 动态 磁盘 上 右 击 “未 指派 ”的 磁盘 图 标 ， 从 弹出 的 快捷 菜单 中 选择 “新 建 卷 ” 命 令 ， 如 图 
8-19 所 示 ， 即 可 启动 “新 建 卷 向 导 ”。 
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(2) 由 于 简单 卷 是 由 单一 动态 磁盘 上 的 空闲 空间 组 成 的 ， 所 以 要 求 在 磁盘 上 有 足够 的 空 
间 ， 当 然 也 可 以 将 一 个 简单 卷 扩 展 到 本 地 计算 机 上 的 其 他 磁盘 空间 。 在 打开 的 “新 建 卷 向 导 ” 
对 话 框 中 选择 要 创建 的 卷 类 型 为 简单 卷 ， 如 图 8-20 所 示 。 

(3) 单 击 “ 下 一 步 ”按钮 ， 在 打开 的 “选择 磁盘 ”对 话 框 中 设置 要 创建 的 卷 的 空间 大 小 ， 
如 图 8-21 所 示 。 
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(4) 与 前 面 创建 磁盘 分 区 的 步骤 一 样 ， 可 以 为 新 创建 的 动态 卷 指定 驱动 器 号 ， 或 将 该 郑 
装 入 一 个 支持 驱动 器 路 径 的 目录 中 ， 如 图 8-22 所 示 。 

(5) 按照 向 导 页 指示 ， 提 示 需 要 格式 化 指定 的 磁盘 空间 。 这 时 可 以 选择 立即 格式 化 ， 并 
指定 一 些 格式 化 参数 ， 即 文件 系统 (选择 NTFS 或 FAT32 等 文件 系统 格式 )、 分 配 单位 大 小 (一 
般 采 用 默认 值 ) 和 卷 标 ( 即 用 来 标识 该 逻辑 驱动 器 的 名 称 )， 当 然 也 可 以 先 不 格式 化 ， 以 后 再 执 
行 格式 化 操作 ， 如 图 8-23 所 示 。 
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(6) 在 选择 了 相关 的 格式 化 操作 之 后 ， 单 击 “ 下 一 步 ” 按 钮 即 开始 创建 简单 卷 ， 系 统 将 
会 打开 一 个 对 话 框 显示 用 户 利用 向 导 所 作 的 选项 ， 如 图 8-24 所 示 。 

(7) 最 后 单 击 “ 完 成 ”按钮 ， 系 统 将 完成 简单 卷 的 创建 操作 ， 此 时 可 以 在 “计算 机 管理 ” 
控制 台 窗口 中 看 到 刚刚 创建 的 “休闲 ”简单 卷 ， 如 图 8-25 所 示 。 
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在 创建 的 简单 卷 中 ， 包 含 启动 和 操作 系统 文件 的 卷 通常 称 为 系统 卷 和 引导 卷 。 系 统 卷 就 
是 包含 加 载 Windows 操作 系统 所 需 的 硬件 配置 文件 的 卷 。 系统 卷 是 为 引导 而 标记 为 活动 的 主 
要 卷 , 而 且 必 须 位 于 启动 系统 时 计算 机 所 访问 的 磁盘 空间 上 。 引 导 卷 是 包含 Windows 操作 系 
统 及 其 支持 文件 的 卷 ， 它 可 以 与 系统 卷 相同 ， 但 不 能 是 跨 区 卷 或 带 区 卷 的 一 部 分 。 

2. 跨 区 卷 


跨 区 卷 可 以 由 两 块 或 多 块 硬盘 上 的 存储 空间 组 成 ， 每 块 硬盘 所 提供 的 磁盘 空间 不 必 相 
同 。 例如， 第 一 块 硬盘 提供 700MB 的 空间 ， 第 二 块 硬盘 提供 800MB 的 空间 ， 把 两 块 磁盘 空 
间 组 合 起 来 创建 的 跨 区 卷 就 有 1500MB 空间 。 

创建 跨 区 卷 的 步骤 与 创建 简单 卷 类 似 ， 只 是 它 将 来 自 多 个 磁盘 的 未 分 配 空间 合并 到 一 个 
逻辑 卷 中 。 一 般 情况 下 ， 如 果 需 要 创建 卷 ， 但 没有 足够 的 未 分 配 空间 分 配给 单个 磁盘 上 的 卷 
时 ， 即 可 创建 跨 区 卷 。 如 前 所 述 ， 打 开 “ 计 算 机 管理 ”控制 台 窗 口 ， 选 择 “ 磁 盘 管 理 ” 项 
在 要 创建 的 未 指派 空间 上 右 击 ， 从 弹出 的 快捷 菜单 中 选择 “新 建 卷 ”命令 ， 启 动 “新 建 卷 向 
导 ”。 在 打开 的 “选择 卷 类 型 ”对 话 框 中 选择 “ 跨 区 ” 单 选 按钮 ， 然 后 进入 “选择 磁盘 ”对 
话 框 。 因 为 跨 区 卷 来 自 两 个 或 多 个 不 同 的 硬盘 ， 所 以 需要 在 “可 用 的 ”列表 框 中 选择 另 一 个 
磁盘 ， 单 击 “ 添 加 ”按钮 将 其 添加 到 “已 选 的 ”列表 框 中 。 接 下 来 设 定 卷 的 容量 并 为 新 创建 
的 跨 区 卷 制定 一 个 盘 符 。 然 后 进入 “ 卷 格式 化 ”对 话 框 ， 在 这 里 可 以 选择 如 何 格式 化 该 卷 ， 
以 及 卷 所 使 用 的 文件 系统 和 卷 标 。 最 后 单 击 “ 完 成 ”按钮 ， 系 统 开 始 将 来 自 不 同 磁盘 的 空间 
组 合 到 一 个 卷 中 来 创建 跨 区 卷 。 

跨 区 卷 可 以 让 用 户 更 有 效 地 使 用 驱动 器 号 。 通 过 合并 磁盘 空间 ， 可 以 释放 驱动 器 号 用 于 
其 他 用 途 ， 也 可 以 为 文件 系统 创建 一 个 具有 较 大 空间 的 卷 。 

3. 带 区 卷 

带 区 卷 和 跨 区 卷 类 似 ， 也 是 由 两 块 或 两 块 以 上 的 硬盘 组 成 ， 但 是 每 块 硬盘 所 贡献 的 空间 
大 小 必须 相同 。 当 将 文件 存储 到 带 区 卷 时 ， 系 统 会 将 数据 分 散 存 储 到 不 同 磁盘 上 的 空间 ， 若 
配合 使 用 DMA 的 硬件 设备 ， 将 可 以 提高 文件 的 访问 效率 并 降低 CPU 的 负荷 。 

至 于 镜像 卷 和 RAID-5 卷 的 创建 和 使 用 情况 ， 将 在 容错 磁盘 的 管理 中 进行 详细 讲解 。 


8.2.3 ”容错 磁盘 的 管理 


系统 在 实际 运行 过 程 中 ， 难 免 会 出 现 各 种 软 硬 件 的 故障 或 系统 状态 数据 的 丢失 和 损坏 ， 
这 时 就 要 求 系统 具备 一 定 的 容错 能 力 ， 以 保证 在 不 间断 运行 的 情况 下 程序 能 继续 正常 工作 。 
而 当 错 误 发 生 之 后 系统 应 能 尽快 地 修复 并 恢复 到 正常 的 工作 状态 ， 并 尽 最 大 可 能 恢复 到 系统 
错误 发 生 之 前 的 状态 。 Windows Server 2003 系统 提供 的 容错 磁盘 管理 , 主要 是 通过 使 用 RAID 
卷 来 实现 系统 容错 的 。 
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Windows Server 2003 提供 容错 管理 的 RAID 卷 有 3 种 类 型 :RAID-0、RAID-1 和 RAID-5。 
RAID 的 全 称 是 Redundant Array of Indepandent Disks 即 独立 磁盘 元 余 阵 列 ， 它 是 为 了 防止 硬 
盘 出 现 故 障 而 导致 数据 丢失 ， 系 统 不 能 正常 工作 的 一 组 硬盘 阵列 。 其 保护 数据 的 主要 方法 就 
是 保存 元 余数 据 ， 以 保证 在 硬盘 发 生 故 障 时 数据 也 可 以 被 读 取 。 所 谓 元 余数 据 就 是 将 重复 的 
数据 保存 在 多 个 硬盘 上 ， 以 保证 数据 的 安全 性 。Windows Server 2003 内 置 提供 容错 能 力 的 硬 
件 卷 只 有 RAID-1 和 RAID-5。 


1. RAID-1 卷 


RAID-1 也 被 称 为 磁盘 镜像 卷 , 它 将 需要 保存 的 数据 同时 保存 在 两 块 硬盘 上 , 分 为 主 盘 
和 辅助 盘 ， 将 写 入 主 盘 的 数据 镜像 到 辅助 盘 中 。 当 其 中 一 块 硬盘 出 现 故 障 而 无 法 工作 时 ， 其 
镜像 硬盘 仍 可 以 使 用 ， 而 不 会 出 现 中 断 服务 和 丢失 数据 。RAID-1 提供 了 很 高 的 容错 能 力 ， 
但 磁盘 的 利用 率 较 低 ， 所 有 的 数据 都 要 写 入 两 个 地 址 ， 至 少 需要 两 块 磁盘 。 例 如 ， 如 果 镜 像 
8GB 得 , 则 需要 两 个 8GB 稚 , 而 系统 中 只 能 存放 8GB 的 数据 -RAID-1 可 以 支持 FAT 和 NTFS 
的 文件 系统 ， 并 能 保护 系统 的 磁盘 分 区 和 引导 分 区 。 

要 创建 镜像 卷 ， 需 要 使 用 另 一 个 磁盘 上 的 可 用 空间 创建 卷 。 其 创建 的 步骤 与 前 面 介绍 的 
跨 区 卷 的 过 程 差不多 。 如 前 所 述 ， 打 开 “ 计 算 机 管理 ”控制 台 窗口 选择 “磁盘 管理 ”项 ， 在 
要 创建 的 未 指派 空间 上 右 击 , 从 弹出 的 快捷 菜单 中 选择 “新 建 卷 ”命令 , 启动 “新 建 卷 向 导 ”。 
选择 创建 卷 的 类 型 为 镜像 卷 ， 然 后 输入 镜像 卷 的 大 小 以 后 ， 为 新 创建 的 镜像 卷 指定 一 个 驱动 
器 号 。 然 后 选择 如 何 格式 化 该 卷 ， 以 及 卷 所 使 用 的 文件 系统 和 卷 标 。 最 后 系统 将 开始 将 来 自 
不 同 磁盘 的 空间 组 合 到 一 个 卷 中 并 格式 化 该 卷 。 

如 果 想 把 镜像 卷 中 的 空间 用 于 其 他 方面 ， 则 必须 先 中 断 镜 像 卷 之 间 的 关系 ， 然 后 删除 其 
中 的 一 个 卷 。 特 别 地 ， 如 果 镜 像 卷 中 的 某 个 卷 出 现 了 不 可 恢复 的 错误 ， 也 需要 中 断 镜 像 卷 的 
关系 ， 并 把 剩余 的 卷 作为 独立 卷 。 然 后 可 以 在 其 他 的 磁盘 上 重新 分 配 一 些 空间 ， 继 续 创建 新 
的 镜像 卷 。 

2. RAID-5 卷 


RAID-5 又 被 称 为 带 有 奇偶 校 验 的 条 带 化 集 。 它 将 需要 保存 的 数据 分 成 相同 大 小 的 数据 
块 ， 分 别 保存 在 多 块 硬盘 中 ， 数 据 在 条 带 卷 中 被 交 蔡 、 均 匀 的 保存 。 在 写 入 数据 的 同时 ， 还 
写 入 一 些 校 验 信 息 。 这 些 校 验 信息 是 由 被 保存 的 数据 通过 数学 运算 得 出 的 ， 使 得 当 源 数据 的 
一 部 分 丢失 时 ， 可 以 通过 剩余 的 数据 和 校 验 信息 来 恢复 丢失 的 数据 。RAID-5 具有 良好 的 数 
据 读 取 和 容错 性 能 ， 且 其 容错 性 能 需要 比 RAID-1 更 少 的 磁盘 空间 。 但 它 的 主要 缺点 是 当 一 
块 盘 出 现 故障 时 ， 系 统 性 能 可 能 会 受到 影响 ， 直 到 重建 RAID-5 为 止 。 RAID-5 支持 FAT 和 
NTFS 文件 系统 ， 但 不 能 保护 系统 的 磁盘 分 区 ， 不 能 包含 引导 分 区 和 系统 分 区 。 

RAID-5 卷 的 创建 过 程 跟 RAID-1 的 过 程 差 不 多 ， 可 参考 前 面 的 步骤 进行 创建 和 使 用 。 但 
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RAID-5 卷 最 少 需 要 3 块 硬盘 gr 32 块 硬盘 。 


如 果 想 把 RAID-5 卷 中 的 空间 用 于 其 他 用 途 , 则 需要 先 备份 卷 中 的 信息 然后 再 删 
除 卷 ， 以 避免 丢失 用 户 的 数据 信息 。 


8.3 ”磁盘 的 检查 和 碎片 整理 


经 常 使 用 计算 机 的 人 一 般 都 有 这 样 的 体会 ， 使 用 新 硬盘 在 进行 文件 复制 、 移 动 和 其 他 操 
作 时 ， 其 速度 比 旧 的 硬盘 要 快 。 实 际 上 ， 文 件 在 磁盘 上 都 是 分 成 许多 小 段 来 存放 的 ， 这 些 文 
件 小 段 分 别 存放 在 不 同 的 磁盘 位 置 上 。 特 别 是 当 复 制 一 个 较 小 的 文件 后 ， 经 过 一 段 时 间 又 添 
加 一 些 内 容 时 ， 磁 盘 上 的 文件 小 段 更 多 ， 位 置 也 更 分 散 。 这 是 因为 文件 开始 在 磁盘 上 存放 时 
基本 上 是 连续 放置 的 ， 随 着 用 户 对 文件 的 修改 、 删 除 或 保存 新 文件 的 频繁 操作 ， 磁 盘 上 就 会 
留 下 许多 文件 小 段 ， 称 为 磁盘 碎片 。 这 些 磁盘 碎片 在 逻辑 上 是 连续 的 ， 并 不 影响 用 户 的 正常 
使 用 ， 但 是 ， 随 着 时 间 的 延长 ， 磁 盘 碎 片 越 积 越 多 ， 在 读 取 文 件 时 ， 磁 头 必须 频繁 移动 查找 
逻辑 上 连续 的 文件 小 段 ， 导 致 读 取 时 间 延 长 ， 降 低 文 件 的 操作 速度 ， 包 括 删 除 、 复 制 、 移 动 
等 操作 ， 同 时 还 会 影响 磁头 的 寿命 。 这 就 需要 经 常 对 磁盘 进行 检查 和 整理 ， 使 数据 文件 的 存 
储 位 置 尽 可 能 的 连续 ， 增 加 磁盘 的 可 用 连续 空间 。Windows Server 2003 的 碎片 整理 工具 可 以 
优化 磁盘 中 的 文件 ， 来 提高 磁盘 的 利用 率 和 读 写 性 能 。Windows Server 2003 的 碎片 整理 速度 
和 效率 都 要 比 Windows Server 2000 高 。 此 外 ，Windows Server 2003 还 支持 联机 对 主 文件 表 
(MFT) 进 行 碎片 整理 ， 并 且 能 对 任何 簇 大 小 的 NTFS 卷 进行 碎片 整理 。 


8.3.1 磁盘 清 


对 磁盘 定期 执行 清理 可 以 更 有 效 地 利用 磁盘 空间 。 系 统 提供 的 “磁盘 清理 ”程序 可 以 将 
一 些 无 用 的 文件 收集 起 来 ， 待 用 户 确 认 以 后 将 其 删除 或 压缩 ， 以 节省 磁盘 空间 ， 还 可 以 清空 
收 站 、 删 除 上 次 索引 操作 留 下 的 分 类 分 件 等 。 
下 面 是 清理 磁盘 的 具体 操作 步骤 。 
(1) 在 “开始 ” |“ 程序” |“ 附件 ”| “系统 工具 ”菜单 中 选择 “磁盘 清理 ”命令 ;或 者 在 
“我 的 电脑 ”窗口 中 右 击 所 要 检查 的 驱动 器 盘 符 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 
打开 本 地 磁盘 属性 对 话 框 ， 选 择 “ 常 规 ” 选 项 卡 ， 如 图 8-26 所 示 ， 单 击 “ 磁 盘 清 理 ” 按 钮 。 
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图 8-26 磁盘 属性 对 话 框 
(2) 系统 将 开始 清理 选 定 的 磁盘 驱动 器 ， 收 集 该 磁盘 上 的 垃圾 文件 和 长 期 没有 使 用 的 旧 
文件 ， 如 图 8-27 所 示 。 
(3) 在 系统 扫描 完 选 定 磁盘 上 的 所 有 文件 后 ， 会 弹出 询问 对 话 框 ， 选 择 “ 磁 盘 清 理 ” 选 
项 卡 ， 其 中 列 出 了 要 删除 的 文件 类 别 以 及 对 应 的 可 节省 的 空间 大 小 ， 在 该 对 话 框 中 选择 需要 
清理 的 文件 ， 单 击 “ 确 定 ”按钮 系统 即 可 进行 磁盘 清理 ， 如 图 8-28 所 示 。 


8-27 “磁盘 清理 ”对 话 框 图 8-28 “磁盘 清理 ”选项 卡 
(4) 选择 “其 他 选项 ”选项 卡 ， 可 以 选择 清理 系统 不 必要 的 Windows 组 件 或 程序 以 释放 
磁盘 空间 ， 如 图 8-29 所 示 。 
(5) 最 后 ， 系 统 会 根据 用 户 的 选择 开始 磁盘 清理 操作 ， 如 图 8-30 所 示 。 


图 8-29 “其 他 选项 “选项 卡 图 8-30 “磁盘 清理 ”对 话 框 
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8.3.2 ”磁盘 检查 


在 对 磁盘 进行 碎片 整理 之 前 ， 最 好 先进 行 “ 磁 盘 检 查 ” 操 作 ， 以 确定 磁盘 上 是 否 存在 文 
件 系统 错误 或 损坏 的 扇 区 ， 如 果 有 ， 则 进行 相应 的 修复 后 再 开始 整理 磁盘 碎片 。 

对 磁盘 进行 检查 的 具体 步骤 如 下 。 

(1) 在 磁盘 属性 对 话 框 中 选择 “工具 ”选项 卡 ， 如 图 8-31 所 示 。 

(2) 当 需 要 在 整理 磁盘 前 检查 是 否 存在 文件 系统 错误 时 ， 可 以 在 “工具 ”选项 卡 中 单 击 
“开始 检查 ”按钮 ， 系 统 将 打开 “检查 磁盘 ”对 话 框 ， 如 图 8-32 所 示 ， 如 果 选 中 “自动 修复 
文件 系统 错误 ” 复 选 框 ， 系 统 会 在 检查 磁盘 过 程 中 修复 发 现 的 文件 系统 错误 ， 如 果 选 中 “ 扫 
描 并 试图 恢复 坏 扇 区 ” 复 选 框 则 表示 系统 将 修复 发 现 的 坏 扇 区 。 单 击 “ 开 始 ” 按 钮 ， 系 统 将 
开始 磁盘 检查 操作 。 


8-31 “工具 ”选项 卡 8-32 “检查 磁盘 ”对 话 框 


在 运行 “检查 磁盘 ”操作 时 ,必须 关闭 系统 正在 运行 的 程序 。 如 果 准 备 整理 的 磁盘 正 
在 使 用 ， 则 系统 会 停止 检查 ， 并 询问 用 户 是 否 安排 在 下 一 次 重新 启动 系统 时 再 检查 该 卷 。 


8.3.3 ”磁盘 碎片 整理 


随 着 时 间 的 推移 ， 磁 盘 中 的 碎片 会 越 来 越 多 ， 导 致 磁盘 空间 变 得 越 来 越 凌乱 ， 文 件 存储 
也 越 来 越 分 散 ， 磁 盘 的 读 写 性 能 也 随 之 下 降 ， 文 件 系统 存 取 出 错 的 几率 也 会 逐渐 增 大 。 
Windows Server 2003 提供 的 “磁盘 碎片 整理 程序 ”就 是 通过 重新 安排 磁盘 上 的 数据 文件 并 把 
文件 存储 在 连续 的 空间 块 中 ， 以 提高 磁盘 整体 的 读 取 效率 和 性 能 。 
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磁盘 碎片 整理 的 具体 步骤 如 下 。 
(1) 在 “磁盘 属性 ”对 话 框 中 选择 “工具 ”选项 卡 ， 然 后 单 击 “ 开 始 整理 ”按钮 ， 将 打 
开 “ 磁 盘 碎 片 整 理 程序 ”对 话 框 ， 如 图 8-33 所 示 。 


性 关 在 片 榴 悍 程序 =l9lx| 
文 几 则 挫 作 以 | 至 看 中 需 助 人 0 
+*+| 回 | 名 


分 析 本 片 芝 理 年 癌 FE El 
国手 XX 什 。 图 这 续 的 文件 ， 国 元 流 移 秦 抽 文件 口 可 用 宝 间 
Tr L 


图 8-33 “磁盘 碎片 整理 程序 ”对 话 框 


(2) “磁盘 碎片 整理 程序 ”对 话 框 分 为 上 下 两 个 主要 区 域 ， 上 方 的 区 域 列 出 了 本 地 计算 
机 中 的 磁盘 分 区 或 卷 ， 下 方 的 区 域 用 不 用 颜色 的 图 形 来 显示 卷 中 出 现 碎片 的 程度 和 整理 碎片 
后 的 情况 。 在 整理 磁盘 前 可 以 先 分 析 一 下 该 磁盘 的 碎片 情况 ， 以 确定 是 否 有 必要 进行 磁盘 的 
碎片 整理 操作 。 在 卷 的 列表 框 中 选择 要 整理 的 卷 ， 然 后 单 击 “ 分 析 ” 按 钮 系统 将 分 析 该 卷 上 
出 现 的 碎片 情况 ， 如 图 8-34 所 示 。 

如 果 需 要 进一步 了 解 磁盘 的 碎片 情况 ， 可 以 单 击 “ 查 看 报告 ”按钮 ， 打 开 “ 分 析 报 告 ” 
对 话 框 ， 如 图 8-35 所 示 。 


磁盘 碎片 整理 程 床 


8-34 ”磁盘 碎片 的 分 析 结 果 8-35 “分 析 报 告 ”对 话 框 


“分 析 报 告 ”对 话 框 的 “ 卷 信息 ”列表 框 中 显示 了 关于 扫描 零碎 文件 和 文件 夹 的 卷 的 详 
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细 信 息 , 包括 卷 的 大 小 、 可 用 空间 大 小 、 零碎 文件 和 文件 夹 的 数量 以 及 系统 文件 信息 等 。 
零碎 的 文件 ”列表 框 中 显 de nnn et 
如 果 频 繁 使 用 这 些 文件 ， 就 会 严重 影响 系统 的 性 能 。 用 户 可 以 把 系统 的 分 析 报告 打印 或 保存 
起 来 ， 供 下 次 进行 碎片 整理 时 参考 。 

(3) 对 磁盘 碎片 分 析 完 毕 后 ， 在 “磁盘 碎片 整理 程序 ”对 话 框 中 单 击 “ 碎 片 整理 ”按钮 ， 
程序 将 开始 分 析 磁盘 碎片 程度 并 进行 碎片 整理 。 碎 片 整理 的 时 间 取决 于 硬盘 的 大 小 和 数据 空 
间 的 大 小 。 在 碎片 整理 完成 后 会 用 不 同 颜色 的 图 形 表示 卷 上 数据 存储 的 分 布 和 改进 情况 ， 如 
图 8-36 所 示 。 
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8-36 ”完成 磁盘 碎片 整理 


入 人 注 
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如 果 在 卷 上 经 常 创建 和 删除 文件 就 很 容易 产生 大 量 的 磁盘 碎片 ， 这 种 情况 下 就 需 
要 经 常 对 磁盘 进行 碎片 整理 ， 以 提高 磁盘 的 利用 率 。 


8.4 ”管理 磁盘 配额 


当 系 统管 理 员 建立 了 新 帐户 ， 并 以 此 帐户 进行 登录 时 ， 系 统 会 默认 在 Documents and 
Settings 文件 夹 内 创建 一 个 与 该 帐户 同名 的 文件 夹 , 用 户 便 能 使 用 该 文件 夹 , 而 没有 磁盘 空间 
大 小 的 限制 。 但 是 , 这 样 一 来 可 能 会 出 现 因为 用 户 占用 了 太 多 的 磁盘 空间 而 使 系统 空间 不 足 。 
所 以 Windows Server 2003 通过 磁盘 配额 功能 来 限制 每 个 帐户 所 能 使 用 的 空间 大 小 , 保证 系统 
空间 的 可 用 。 磁 盘 配 额 功能 可 以 指定 用 户 在 NTFS 卷 上 可 用 的 磁盘 空间 ， 而 且 既 可 以 对 所 有 
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用 户 指定 磁盘 配额 ， 也 可 以 对 各 个 用 户 分 别 指定 不 同 的 磁盘 配额 。 
8.4.1 默认 的 磁盘 配额 管理 


一 般 情况 下 ， 磁 盘 配 额 功 能 只 能 应 用 于 NTFS 卷 ， 而 且 磁 盘 配 额 不 能 针对 实际 硬盘 来 设 
置 空间 大 小 ， 而 必须 是 针对 单个 的 驱动 器 进行 配置 。 磁 盘 配 额 是 根据 文件 的 所 有 权 来 计算 所 
属 空间 大 小 的 。 用 户 创建 、 复 制 或 取得 文件 所 有 权时 ， 则 该 用 户 就 是 文件 的 拥有 者 。 用 户 安 
装 应 用 程序 时 使 用 的 磁盘 空间 也 是 根据 磁盘 配额 来 计算 的 ， 而 不 是 卷 中 的 实际 空间 。 

默认 的 磁盘 配额 管理 时 会 有 两 个 设置 值 : 配额 限制 和 警告 等 级 。 通 常 ， 磁 盘 空 间 的 配额 
限制 会 大 于 警告 等 级 ， 系 统管 理 员 可 以 在 用 户 的 磁盘 使 用 空间 达到 警告 等 级 时 通知 用 户 。 

下 面 就 介绍 一 下 默认 磁盘 配额 功能 的 设置 。 

(1) 在 “我 的 电脑 ”中 右 击 要 分 配 磁盘 空间 的 驱动 器 盘 符 ， 从 弹出 的 快捷 菜单 中 选择 “ 属 
性 ”命令 ， 在 打开 的 “磁盘 属性 ”对 话 框 中 选择 “配额 ”选项 卡 ， 如 图 8-37 所 示 。 

(2) 默认 情况 下 ， 系 统 的 磁盘 配额 功能 是 禁用 的 ， 选 中 “启用 配额 管理 ” 复 选 框 即 可 启 
用 磁盘 配额 管理 。 


8-37 “配额 ”选项 卡 


4 注 
轰 
在 “配额 ”选项 卡 左上 角 的 交通 指示 图 标 中 “ 红 灯 ” 表 示 关 闭 磁盘 配额 功能 ; “ 黄 
灯 ” 表 示 Windows Server 2003 重建 磁盘 配额 信息 ; “绿灯 ”表示 磁盘 配额 已 启用 并 处 
于 活动 状态 。 
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(3) 接 下 来 用 户 可 以 设置 默认 的 磁盘 配额 。 在 “配额 ”选项 卡 的 “为 该 卷 上 的 新 用 户 选 
择 默 认 配 额 限制 ”选项 区 域 中 可 以 设置 默认 的 配额 限制 和 警告 等 级 ， 其 中 “不 限制 磁盘 使 用 ” 
单 选 按钮 表示 给 用 户 配置 的 磁盘 空间 不 限制 大 小 ; 若 选择 “将 磁盘 空间 限制 为 ” 单 选 按钮 就 
需要 在 后 面 的 文本 框 中 为 用 户 设置 磁盘 配额 和 警告 等 级 的 具体 空间 大 小 。 

(4) 在 “配额 ”选项 卡 中 ， 用 户 还 需要 进一步 设置 当 用 户 的 磁盘 空间 达到 配额 限制 或 警 
告 等 级 时 系统 如 何 反 应 。 如 果 选 中 “拒绝 将 磁盘 空间 给 超过 配额 限制 的 用 户 ” 复 选 框 ， 则 表 
示 当 用 户 配 置 的 磁盘 空间 达到 限制 时 就 不 能 再 使 用 新 的 磁盘 空间 ， 如 果 选 中 “用 户 超出 配额 
限制 时 记录 事件 ” 复 选 框 ， 则 表示 用 户 配置 的 磁盘 空间 达到 限制 时 ， 可 以 继续 使 用 新 的 磁盘 
空间 ， 但 系统 会 在 日 志 中 记录 此 事件 ， 如 果 选 中 “用 户 超过 警告 等 级 时 记录 事件 ” 复 选 框 ， 
则 表示 用 户 配 置 的 磁盘 空间 达到 警告 等 级 时 ， 可 以 继续 使 用 新 的 磁盘 空间 ， 但 系统 会 在 日 志 
中 记录 此 事件 。 
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当 给 卷 上 的 新 用 户 设置 默认 磁盘 配额 时 ， 这 个 磁盘 配额 功能 只 适用 于 卷 上 还 没有 
创建 文件 的 用 户 ， 而 在 卷 上 已 经 创建 文件 的 用 户 不 受 这 个 磁盘 配置 策略 的 限制 。 


8.4.2 单个 用 户 的 磁盘 配额 管理 


当然 ， 系 统管 理 员 也 可 以 为 各 个 用 户 分 别 设置 磁盘 配额 ， 这 样 可 以 让 经 常 更 新 应 用 程序 
的 用 户 有 一 定 的 磁盘 空间 ， 而 限制 其 他 非 经 常 登录 的 用 户 的 磁盘 空间 ， 也 可 以 对 经 常 超支 磁 
盘 空 间 的 用 户 设置 较 低 的 警告 等 级 。 这 样 也 更 利于 管理 用 户 ， 提 高 磁盘 空间 的 利用 率 。 

下 面 介 绍 相关 的 具体 操作 步骤 。 

(1) 在 “配额 ”选项 卡 中 单 击 “配额 项 ”按钮 ， 打 开 磁 盘 的 配额 项 窗口 ， 系 统管 理 员 可 
以 通过 “配额 项 目 ” 列 表 框 来 修改 每 个 用 户 的 磁盘 配额 设置 ， 如 图 8-38 所 示 。 
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8-38 ”磁盘 的 配额 项 窗口 
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(2) 如 果 系 统管 理 员 要 修改 单个 用 户 的 磁盘 配额 ， 可 以 在 用 户 列表 中 先 选 定 一 个 用 户 。 
然后 右 击 选 定 的 用 户 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 或 双击 选 定 的 用 户 ， 即 可 打开 
该 用 户 的 “配额 设置 ”对 话 框 ， 如 图 8-39 所 示 。 在 该 对 话 框 中 系统 管理 员 可 以 具体 指定 是 否 
限制 用 户 的 磁盘 配额 空间 、 极 限 值 和 警告 等 级 。 

(3) 如 果 系 统管 理 员 需 要 为 新 添加 的 用 户 设置 磁盘 配额 ， 则 可 以 在 磁盘 的 配额 项 窗口 中 
选择 “配额 ”| “新 建 配额 项 ”命令 ， 即 可 打开 “选择 用 户 ” 对 话 框 ， 如 图 8-40 所 示 。 
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图 8-39 单个 用 户 的 磁盘 配额 设置 图 8-40 “选择 用 户 ” 对 话 框 


(4) 在 “选择 用 户 ” 对 话 框 中 单 击 “ 对 象 类 型 ”按钮 ， 可 以 选择 要 添加 的 用 户 名 称 。 如 
果 需 要 查找 用 户 ， 可 以 单 击 “ 位 置 ”按钮 选择 要 查找 的 用 户 位 置 是 在 “本 地 ”还 是 在 “ 域 ” 
中 ， 同 时 在 “输入 对 象 名 称 来 选择 ”文本 框 中 输入 用 户 名 ， 单 击 “ 检 查 名 称 ” 按 钮 确认 。 如 
果 仍然 没有 找到 用 户 ， 则 可 以 单 击 “高 级 ”按钮 打开 “高 级 查找 ”对 话 框 ， 并 单 击 “ 立 即 查 
找 ” 按 钮 ， 在 出 现 的 “搜索 结果 ”列表 框 中 选择 要 添加 的 用 户 ， 单 击 “ 确 定 ” 按 钮 即 可 ， 如 
8-41 所 示 。 


8-41 ”查找 要 添加 的 用 户 
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以 往 的 Windows 操作 系统 都 是 使 用 驱动 器 的 概念 , 即 用 户 必须 通过 驱动 器 盘 符 来 访问 计 
算 机 中 的 文件 。 而 Windows Server 2003 提供 的 是 类 似 UNIX 挂 载 功能 的 磁盘 连接 技术 , 可 以 
使 系统 管理 员 将 某 个 驱动 器 连接 到 NTFS 分 区 的 驱动 器 下 的 一 个 文件 夹 上 ， 这 样 用 户 在 访问 
该 被 连接 的 驱动 器 的 文件 时 ， 就 可 以 直接 访问 连接 的 文件 来， 完全 感觉 不 到 文件 其 实 是 存放 
在 被 连接 的 驱动 器 上 。 而 且 经 过 磁盘 连接 后 ， 用 户 还 可 以 通过 一 个 驱动 器 来 访问 多 个 驱动 器 
中 的 文件 ， 从 而 方便 了 系统 操作 。 但 实际 上 被 连接 的 驱动 器 和 负责 连接 的 驱动 器 还 是 两 个 独 
立 的 驱动 器 ， 仍 保留 原来 各 自 的 文件 系统 和 设置 ， 而 磁盘 连接 操作 提供 的 只 是 访问 文件 的 便利 。 

要 实现 磁盘 的 连接 ， 首 先 需 要 在 NTFS 格式 的 驱动 器 中 建立 一 个 用 来 连接 的 新 文件 夹 ， 
用 来 把 某 个 驱动 器 连接 到 该 文件 夹 上 。 


被 连接 的 驱动 器 可 以 是 FAT 格式 或 NTFS 格式 ,但 负责 连接 的 文件 夹 必须 是 在 
NTFS 格式 的 驱动 器 内 ,而 且 该 文件 夹 必须 是 空 文件 夹 ， 不 能 有 任何 文件 或 子 文件 夹 。 


下 面 是 磁盘 连接 的 具体 操作 步 又 。 

(1) 打开 “计算 机 管理 ”控制 台 窗 口 ， 选 择 “ 磁 盘 管 理 ” 选 项 ， 在 要 被 连接 的 驱动 器 盘 
符 上 右 击 ， 从 弹出 的 快捷 菜单 中 选择 “更 改 驱 动 器 号 和 路 径 ” 命 令 ， 如 图 8-42 所 示 。 

(2) 在 打开 的 “更 改 磁盘 驱动 器 号 和 路 径 ” 对 话 框 中 单 击 “添加 ”按钮 ， 打 开 “ 添 加 驱 
动 器 号 或 路 径 ”对 话 框 , 为 被 连接 的 驱动 器 添加 新 的 驱动 器 路 径 。 然 后 在 该 对 话 框 中 单 击 “ 浏 
览 ”按钮 ， 选 择 用 来 连接 驱动 器 的 文件 夹 路 径 ， 当 然 也 可 以 在 文本 框 中 输入 用 来 连接 的 文件 
夹 路 径 ， 如 图 8-43 所 示 。 
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8-42 选择 “更 改 驱动 器 号 和 路 径 ” 命 令 


图 8-43 ”添加 用 来 连接 磁盘 的 文件 夹 路 径 


(3) 单 击 “ 确 定 ”按钮 ， 即 可 完成 连接 磁盘 的 操作 ， 从 图 8-44 中 可 以 看 到 ， 用 来 连接 磁 
盘 的 文件 夹 图 标 已 经 变 成 了 磁盘 的 图 标 。 此 时 ， 通 过 该 文件 夹 实际 访问 的 是 某 个 驱动 器 中 的 
文件 ， 但 操作 起 来 就 象 浏览 该 文件 夹 中 的 文件 一 样 ， 方 便 了 文件 的 读 取 。 
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图 8-44 ”实现 磁盘 连接 的 文件 夹 图 标 
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磁盘 容量 和 磁盘 管理 是 今后 计算 机 发 展 的 一 个 方向 ， 随 着 信息 的 
发 展 和 数据 容量 的 增加 , 存储 和 备份 变 得 越 来 越 重 要 。 Windows Server 
2003 增强 了 系统 存储 、 备 份 和 故障 恢复 实用 程序 ， 备 份 实用 程序 是 为 
保护 系统 而 设计 的 ， 用 于 防止 由 于 硬件 或 媒体 失效 或 者 其 他 损坏 事件 
的 故障 而 丢失 数据 。 如 果 系统 中 的 数据 丢失 ， 则 备份 实用 程序 可 以 方 
便 地 从 存档 的 拷贝 中 恢复 数据 ， 同 时 能 将 系统 从 各 种 故障 中 恢复 正常 


运行 。 
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9.1 数据 存储 简介 


随 着 计算 机 技术 的 飞速 发 展 ， 计 算 机 各 部 件 性 能 的 发 展 速度 越 来 越 快 ， 计 算 机 处 理 和 产 
生 数 据 的 也 越 来 越 重要 ， 数 据 一 旦 丢失 ， 所 有 的 计算 能 力 变 得 毫 无 价值 ， 必 须 看 到 ， 数 据 逐 
步 成 为 一 个 自 有 存储 的 、 不 属于 任何 特定 系统 的 实体 ， 就 像 资 本 或 智力 财产 一 样 ， 数 据 也 成 
为 一 种 可 以 共同 享用 的 财富 ， 需 要 加 以 存储 和 保护 。 


9.1.1 数据 存储 方式 


数据 存储 有 3 种 方式 ， 即 在 线 、 近 线 和 离线 存储 。 在 线 存储 是 把 数据 存放 在 被 主机 的 文 
件 系统 直接 管理 的 磁盘 存储 设备 中 ， 其 特点 是 利用 了 系统 底层 的 IO 技术 ， 优 点 是 可 以 实时 
访问 和 改变 数据 ， 性 能 出 色 ， 能 够 满足 应 用 对 IO 性 能 的 要 求 。 近 线 存储 是 指 把 数据 存放 在 
另外 一 套 主机 的 文件 系统 直接 管理 的 磁盘 存储 设备 中 ， 这 个 方式 通常 借助 一 定 的 软件 和 网 络 
来 实现 不 同系 统 间 的 数据 异地 存放 ， 以 及 需要 时 的 数据 回迁 ， 其 优点 是 数据 同样 存放 在 正 加 
电 运 行 的 系统 上 ， 能 够 保证 数据 存放 和 回迁 的 传输 性 能 。 离 线 存储 是 指 系统 运行 的 情况 下 ， 
把 数据 存放 在 可 随时 脱离 系统 的 磁带 设备 中 ， 其 最 大 的 特点 是 借助 了 磁带 技术 ， 优 点 是 可 以 
在 系统 运行 时 得 到 一 份 脱离 系统 的 数据 拷贝 ， 便 于 存放 在 异地 。 这 3 种 方式 的 组 合 应 用 ， 将 
会 带 给 用 户 完 善 的 数据 存储 和 管理 方案 。 


9.1.2 ”存储 发 展 趋势 


随 着 存储 技术 的 发 展 ， 存 储 出 现 了 3 个 趋势 : 独立 化 、 集 中 化 和 网 络 化 。SCSI 技术 实现 
了 存储 的 独立 化 ， 使 得 存储 从 主机 系统 中 独立 出 来 ， 成 为 独立 的 设备 。Fibre Channel 技术 的 
出 现 ， 产 生 了 FC 交换 机 、HBA 卡 和 FC 磁盘 阵列 ， 人 允许 用 户 独立 于 企业 局 域 网 络 ， 在 信息 
中 心 后 台 ， 设 计 出 一 个 统一 的 数据 在 线 存储 系统 ， 也 就 是 存储 区 域 网 络 (FC-SAN)。 最 近 出 现 
的 iSCSI 技术 ， 成 为 Fibre Channel 技术 的 有 力 竞争 ， 使 得 用 户 在 同一 套 以 太 网 络 上 ， 构 建 出 
数据 传输 系统 和 数据 存储 系统 (IP-SAN)。 信 息 化 规划 中 ， 可 从 这 3 种 技术 中 选择 最 恰当 者 ， 
来 构成 数据 在 线 存 储 系 统 。 

数据 在 线 存储 归根 到 底 是 一 个 模式 问题 。 无 论 存 储 技术 如 何 发 展 ， 目 前 看 ， 存 储 模式 始 
终 脱离 不 了 DAS、NAS、SAN 这 3 种 ， 其 中 DAS、SAN 模式 是 以 “ 块 方式 ”进行 数据 存储 
的 ，NAS 是 在 以 太 网 络 上 ， 以 “文件 方式 ”进行 数据 存储 。 无 论 应 用 系统 差异 多 大 ， 其 数据 读 
写 方式 无 外 乎 两 种 : 块 方式 、 文 件 方式 。 通 常情 况 下 ， 各 类 数据 库 应 用 ， 如 ERP、MIS、HIS、 
DM、KM、CRM 等 等 ， 都 需要 “ 块 方式 ”来 保证 数据 库 的 性 能 ， 而 各 类 多 媒体 数据 应 用 ， 


如 数字 文件 、 数 字 图 片 、 数 字 视频 、 数 字音 频 等 数据 ， 以 及 Email、Ftp、Web、E-Game 等 网 
络 应 用 的 数据 ， 是 以 文件 形式 被 存储 和 利用 的 ， 可 以 根据 系统 规模 和 并 发 请 求 数 对 系统 性 能 
的 要 求 ， 来 选择 “ 块 存储 ”还 是 “文件 存储 ”方式 。 把 握 住 系统 的 数据 处 理 方式 ， 清 楚 数据 
是 如 何 产生 的 ， 以 何 种 方式 被 存储 和 利用 ， 进 而 考虑 各 子 系统 在 存储 性 能 、 容 量 、 扩 展 性 、 
可 用 性 、 可 管理 性 方面 的 要 求 ， 即 可 为 各 子 系统 设计 出 合适 的 存储 模式 ， 解 决 数据 存储 问题 。 


9.2 ”数据 管理 


数据 管理 有 别 于 存储 管理 ， 存 储 管理 的 对 象 是 存储 空间 (或 称 存储 资源 )， 其 主要 内 容 是 
存储 设备 状态 监控 、 存 储 空间 在 线 动态 扩展 和 调整 、 存 储 空间 的 统一 管理 和 分 配 等 ， 目 的 是 
为 了 向 主机 及 其 应 用 提供 稳定 可 靠 的 存储 空间 。 数 据 管理 的 对 象 是 在 线 存储 系统 内 的 数据 ， 
其 管理 内 容 主 要 有 : 利用 各 种 不 同 的 手段 获取 数据 拷贝 以 实现 各 种 级 别 的 数据 安全 和 高 可 用 
特性 、 在 不 同 的 存储 设备 中 迁移 数据 、 管 理 数据 内 容 。 存 储 管理 针对 在 线 存储 系统 ， 而 数据 
管理 则 更 多 地 利用 了 数据 的 近 线 存储 和 离线 存储 方式 。 

设计 数据 管理 方案 , 首先 必须 目的 清晰 。 数据 管理 的 目的 主要 有 : 保障 系统 生命 可 持续 、 
提高 存储 资源 利用 率 (或 节省 存储 成 本 )、 进 行 数据 共享 或 再 利用 (从 而 进行 效益 增值 )。 数 据 管 
理 是 依附 于 在 线 存储 系统 的 ， 因 此 设计 数据 管理 方案 时 ， 必 须 考虑 在 线 存储 系统 的 模式 。 明 
确 了 存储 模式 和 数据 管理 目的 之 后 ， 才 可 以 在 各 种 数据 管理 手段 中 ， 一 般 来 说 ， 数 据 管 理 有 
如 下 手段 : 高 可 用 集群 、 备 份 、 复 制 、 容 灾 、 迁 移 、 内 容 管 理 等 ， 用 户 可 选择 合适 的 手段 ， 
实现 理想 的 数据 管理 。 


9.2.1 高 可 用 集群 


高 可 用 集群 ， 是 在 存储 在 磁盘 阵列 中 的 同一 数据 上 ， 连 接 2 个 或 者 多 个 相同 的 主机 ， 通 
过 特殊 的 软件 ， 使 多 个 主机 对 外 虚拟 为 一 个 应 用 系统 ， 对 内 可 以 在 多 个 主机 间 分 配 负载 实现 
负载 均衡 ， 或 者 指定 主机 和 备 机 系统 ， 以 在 主 系统 宕 机 下 ， 备 机 系统 接管 应 用 ， 保 证 应 用 继 
续 运行 ， 从 而 实现 应 用 高 可 用 的 技术 。 高 可 用 集群 可 以 有 效 保 障 系统 的 可 持续 性 ， 尤 其 适合 
关系 数据 库 ， 如 SQL、Oracle、Sybase、Infomix、Mysql、DBI 上 的 各 类 应 用 。 


9.2.2 备份 


备份 是 指 用 一 定 的 方式 形成 数据 拷贝 ， 以 在 源 数据 遭 到 破坏 的 情况 下 ， 可 以 恢复 数据 。 
备份 有 近 线 备份 和 离线 备份 两 种 方式 ， 其 区 别 主要 在 于 备份 设备 是 磁盘 设备 还 是 磁带 设备 。 
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根据 不 同 的 规模 和 不 同 的 存储 模式 ， 备 份 有 单机 备份 、 网 络 备份 、Sever Free 和 LAN Free 备 
份 等 几 种 方式 。 比 较 而 言 ， 单机 备份 仅仅 适合 于 单一 应 用 系统 ; 同一 网 络 下 的 多 个 应 用 系统 ， 
适合 采用 网 络 备份 ; 在 采用 SAN 存储 模式 的 环境 下 ，Server Free 和 LAN Free 则 更 有 效率 。 


9.2.3 复制 


复制 是 指 将 系统 主 磁盘 设备 内 的 数据 复制 到 其 他 系统 内 ， 数 据 复 制 有 同步 复制 和 异步 复 
制 。 通 过 不 同 的 软 硬 件 设 备 ， 不 仅 可 实现 局 域 网 内 ， 还 可 实现 广域网 上 的 数据 复制 。 数 据 复 
制 软件 和 近 线 存 储 结合 ， 可 以 形成 高 性 能 的 数据 备份 解决 方案 ， 相 比较 磁带 备份 而 言 ， 这 种 
方式 可 以 做 到 数据 更 新 时 的 实时 备份 ， 更 可 在 源 数 据 丢 失 后 ， 短 时 间 内 完全 恢复 数据 。 同 步 
数据 复制 软件 和 高 可 用 软件 结合 ， 则 可 以 实现 系统 容 灾 。 


9.2.4 容 灾 


容 灾 是 指 在 主 应 用 系统 之 外 ， 在 异地 建立 一 套 备份 系统 ， 通 过 数据 复制 软件 ， 把 数据 同 
步 复制 到 备份 系统 中 ， 通 过 高 可 用 集群 软件 ， 监 控 主 系统 的 运行 状态 ， 一 旦 主 系统 因为 各 类 
灾难 而 宕 机 ， 备 份 系统 即 可 接 蔡 主 系统 的 工作 ， 保 证 系统 实时 在 线 可 用 。 容 灾 可 以 带 来 很 高 
的 可 靠 性 ， 但 容 灾 的 建设 投入 相对 非常 大 。 


9.2.5 迁移 


迁移 是 指 将 高 速 、 高 容量 的 存储 设备 (如 非 在 线 的 大 容量 磁带 库 、 在 线 的 磁盘 设备 ) 作 为 
主 磁盘 设备 (磁盘 阵列 ) 的 下 一 级 ， 把 主 磁盘 设备 中 不 常用 的 数据 ， 按 照 指定 的 策略 自动 迁移 
到 二 级 存储 设备 上 。 当 需要 这 些 数据 时 ， 自 动 把 这 些 数据 调 回 主 磁盘 设备 中 。 通 过 数据 迁移 ， 
可 以 实现 把 大 量 不 经 常 访问 的 数据 放置 在 离线 或 近 线 设备 上 ， 而 只 在 主 磁盘 设备 上 保存 少量 
高 频率 访问 的 数据 ， 从 而 提高 存储 资源 利用 率 ， 大 大 降低 设备 和 管理 成 本 。 数 据 迁 移 技术 通 
常 适合 医疗 行业 的 PACS 系统 、 气 象 、 地 震 、 水 文 的 HPC 和 HPS 系统 、 传 播 媒体 、 专 利 、 
保险 、 图 书 、 银 行 、 会 计 、 档 案 管理 行业 ， 以 及 工业 设计 和 市 场 推广 行业 。 


9.2.6 内容 管理 


内 容 管理 是 数据 管理 中 的 新 兴 技 术 。 传 统 的 数据 管理 方式 采用 结构 性 关系 数据 库 ， 仅 能 
处 理 结构 化 数据 ， 而 绝 大 多 数 的 信息 ， 如 文件 、 报 告 、 视 频 、 音 频 、 照 片 、 传 真 、 ee 
都 是 非 结 构 化 的 ， 这 类 信息 的 管理 成 为 数据 管理 的 难题 ， 内 容 管理 技术 由 此 而 生 ， 内 容 管 
要 解决 结构 化 和 非 结 构 化 数字 资源 的 采集 、 管 理 、 利 用 、 传 递 和 增值 等 工作 。 
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同 种 管理 手段 在 实际 应 用 中 的 方式 千变万化 , 但 在 实现 原理 上 是 类 似 的 。 在 实际 应 用 中 ， 
要 考虑 每 个 子 系统 的 情况 ， 考 虑 其 应 用 关键 性 高 低 、 系 统 节点 数量 多 少 、 数 据 类 型 和 读 写 方 
式 、 数 据 规模 大 小 、 是 否 跨 平台 、 是 否 跨 网 络 等 因素 ， 紧 紧 把 握 数据 管理 的 核心 目的 ， 按 需 
定制 ， 选 择 一 种 或 多 种 管理 手段 ， 达 到 数据 管理 的 理想 状态 。 


9.3 RAID 


9.3.1 RAID 简介 


RAID 是 由 美国 加 州 大 学 伯克利 分 校 的 D.A.Patterson 教授 在 1988 年 提出 的 。RAID 是 
Redundent Array of Inexpensive Disks 的 缩写 ， 直 译 为 "廉价 元 余 磁 盘 阵 列 "， 也 简称 为 "磁盘 阵 
列 "。 后 来 RAID 中 的 字母 I 被 改作 了 Independent，RAID 就 成 了 "独立 元 余 磁 盘 阵 列 "， 但 这 
只 是 名 称 的 变化 ， 实 质 性 的 内 容 并 没有 改变 。 可 以 把 RAID 理解 成 一 种 使 用 磁盘 驱动 器 的 方 
法 ， 它 将 一 组 磁盘 驱动 器 用 某 种 逻辑 方式 联系 起 来 ， 作 为 逻辑 上 的 一 个 磁盘 驱动 器 来 使 用 。 
一 般 情况 下 ， 组 成 的 逻辑 磁盘 驱动 器 的 容量 要 小 于 各 个 磁盘 驱动 器 容量 的 总 和 。RAID 的 具 
体 实现 可 以 靠 硬件 也 可 以 靠 软件 ，Windows NT 操作 系统 就 提供 软件 RAID 功能 。 RAID 一 般 
是 在 SCSI 磁盘 驱动 器 上 实现 的 , 因为 IDE 磁盘 驱动 器 的 性 能 发 挥 受 限于 IDE 接口 (IDE 只 能 
接 两 个 磁盘 驱动 器 ， 传 输 速率 最 高 1.5MB/s)。IDE 通道 最 多 只 能 接 4 个 磁盘 驱动 器 ， 在 同一 
时 刻 只 能 有 一 个 磁盘 驱动 器 能 够 传输 数据 , 而 且 IDE 通道 上 一 般 还 接 有 光驱 , 光驱 引起 的 延迟 
会 严重 影响 系统 速度 。SCSI 适配器 保证 每 个 SCSI 通道 随时 都 是 畅通 的 , 在 同一 时 刻 每 个 SCSI 
磁盘 驱动 器 都 能 自由 地 向 主机 传送 数据 ， 不 会 出 现 像 IDE 磁盘 驱动 器 争 用 设备 通道 的 现象 。 


9.3.2 ”RAID 的 优点 


1. 成 本 低 ， 功 耗 小 ， 传 输 速率 高 


在 RAID 中 ， 可 以 让 很 多 磁盘 驱动 器 同时 传输 数据 ， 而 这 些 磁盘 驱动 器 在 逻辑 上 又 是 一 
个 磁盘 驱动 器 , 所 以 使 用 RAID 可 以 达到 单个 的 磁盘 驱动 器 几 倍 、 几 十 倍 甚至 上 百倍 的 速率 。 
这 也 是 RAID 最 初 想 要 解决 的 问题 。 因为 当时 CPU 的 速度 增长 很 快 , 而 磁盘 驱动 器 的 数据 传 
输 速 率 无 法 大 幅 提高 ， 所 以 需要 有 一 种 方案 解决 二 者 之 间 的 矛盾 。RAID 最 后 成 功 了 。 

2. 提供 容错 功能 

普通 磁盘 驱动 器 无 法 提供 容错 功能 ，RAID 和 容错 是 建立 在 每 个 磁盘 驱动 器 的 硬件 容错 
功能 之 上 的 ， 所 以 它 提供 更 高 的 安全 性 。 
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3. 具备 数据 校 验 (Parity) 功 能 


校 验 可 被 描述 为 用 于 RAID 级 别 2，3，4，5 的 额外 的 信息 ， 当 磁盘 失效 的 情况 发 生 时 ， 
校 验 功 能 结合 完好 磁盘 中 的 数据 ， 可 以 重建 失效 磁盘 上 的 数据 。 对 于 RAID 系统 来 说 ， 在 任 
何 有 害 条 件 下 绝对 保持 数据 的 完整 性 (Data Integrity) 是 最 基本 的 要 求 。 数据 完整 性 指 的 是 阵列 
面 对 磁 盘 失 效 时 保持 数据 不 丢失 的 能 力 ， 由 于 数据 的 破坏 通常 会 带 来 灾难 性 的 后 果 ， 所 以 选 
择 RAID 阵列 的 基础 条 件 是 它 能 提供 什么 级 别 的 数据 完整 性 。 

4. RAID 相 比 于 传统 磁盘 驱动 器 而 言 ， 在 同样 的 容量 下 ， 价 格 要 低 许多 


9.3.3 RAID 级 别 


目前 就 RAID 的 应 用 来 说 ，RAID 可 以 提供 RAID 0、1、3、5， 而 RAID 0 又 可 以 配合 后 
3 种 进行 更 多 的 功能 组 合 ， 也 就 是 RAID 10、30、50 的 工作 方式 。 


9.3.4 _RAID 0 级 (Stripe) 


RAID0 级 ， 即 无 元 余 无 校 验 的 磁盘 阵列 。 数 据 同时 分 布 在 各 个 磁盘 驱动 器 上 ， 工 作 状 态 
是 几 个 磁盘 同时 工作 , 系统 传输 来 的 数据 , 经 过 RAID 控制 器 通常 是 平均 分 配 到 几 个 磁盘 中 。 
而 这 一 切 对 于 系统 来 说 是 完全 不 用 干预 的 ， 从 系统 的 角度 看 ，N 个 硬盘 是 一 个 容量 为 N 个 硬 
盘 容 量 之 和 的 “大 ”硬盘 。RAID 0 的 主要 工作 目的 是 获得 更 大 的 “单个 ”磁盘 容量 。 另 一 方 
面 就 是 多 个 硬盘 同时 读 取 ， 从 而 获得 更 高 的 存 取 速 度 。 没 有 容错 能 力 ， 读 写 速度 在 RAID 中 
最 快 ， 但 因为 任何 一 个 磁盘 驱动 器 损坏 都 会 使 整个 RAID 系统 失效 ， 所 以 安全 系数 反倒 比 单 
个 的 磁盘 驱动 器 还 要 低 。 一 般 用 在 对 数据 安全 要 求 不 高 ， 但 对 速度 要 求 很 高 的 场合 。 


9.3.5 ”RAID 1 级 (Mirror) 


RAID1 级 ， 即 镜像 磁盘 阵列 。 每 一 个 磁盘 驱动 器 都 有 一 个 镜像 磁盘 驱动 器 ， 镜 像 磁盘 驱动 
器 随时 保持 与 原 磁盘 驱动 器 的 内 容 一 致 。RAID1 具有 最 高 的 安全 性 ， 但 只 有 一 半 的 磁盘 空间 被 
用 来 存储 数据 。 主 要 用 在 对 数据 安全 性 要 求 很 高 ， 而 且 要 求 能 够 快速 恢复 被 损坏 的 数据 的 场合 。 


9.3.6 RAID 1+0 


如 果 同 时 对 RAID 0 中 写 往 两 个 硬盘 的 数据 再 做 两 个 镜像 如 何 呢 ? 这 就 是 RAID 1+0 的 
方案 。RAID 1+0 至 少 使 用 4 个 硬盘 ， 这 样 ，RAID 1+0 在 理论 上 同时 保证 了 RAID 0 的 性 能 
和 RAID 1 的 安全 性 ， 代 价 是 比 RAID 0 或 1 再 多 一 倍 的 硬盘 数量 。 但 应 该 注意 ， 这 仅仅 是 
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理论 上 的 ， 因 为 实际 中 IDE RAID 这 样 的 软件 RAID 系统 会 消耗 CPU 运算 时 间 ，RAID 1+0 
比 起 RAID 0 或 1 来 讲 , 同样 多 消耗 一 倍 的 CPU 时 间 , 所 以 性 能 最 后 不 一 定 能 提升 到 RAID 0 
那样 的 比例 ， 甚 至 有 可 能 总 体 性 能 不 升 反 降 。 


9.3.7 RAID3 和 RAID4 


任何 一 个 单独 的 磁盘 驱动 器 损坏 都 可 以 进行 恢复 . RAID 3 和 RAID 4 的 数据 读 取 速度 很 快 ， 
但 写 数据 时 要 计算 校 验 位 的 值 以 写 入 校 验 盘 ， 速 度 有 所 下 降 。RAID 3 和 RAID 4 的 使 用 也 不 多 。 


9.3.8 RAID 5 级 


RAID 5 级 ， 即 无 独立 校 验 盘 的 奇偶 校 验 磁盘 阵列 。 同 样 采用 奇偶 校 验 来 检查 错误 ， 但 
没有 独立 的 校 验 盘 ， 校 验 信息 分 布 在 各 个 磁盘 驱动 器 上 。RAID5 对 大 小 数据 量 的 读 写 都 有 很 
好 的 性 能 ， 被 广泛 地 应 用 。 

从 RAID 1 到 RAID 5 的 几 种 方案 中 , 不 论 何 时 有 磁盘 损坏 , 都 可 以 随时 拔 出 损坏 的 磁盘 
再 插入 好 的 磁盘 (需要 硬件 上 的 热 插 拔 支持 )， 数 据 不 会 受 损 ， 失 效 盘 的 内 容 可 以 很 快 地 重建 ， 
重建 的 工作 也 由 RAID 硬件 或 RAID 软件 来 完成 。 但 RAID 0 不 提供 错误 校 验 功能 ， 所 以 有 
人 说 它 不 能 算 作 是 RAID。 

当前 的 PC 机 ， 整 个 系统 的 速度 瓶颈 主要 是 硬盘 。 虽 然 不 断 有 Ultra DMA33、 DMA66、 
DMA100 等 快速 的 标准 推出 , 但 收效 不 大 。 在 PC 中 ,磁盘 速度 慢 一 些 并 不 是 太 严重 的 事情 。 
但 在 服务 器 中 ， 这 是 不 允许 的 ， 服 务 器 必须 能 响应 来 自 四 面 八方 的 服务 请 求 ， 这 些 请 求 大 多 
与 磁盘 上 的 数据 有 关 ， 所 以 服务 器 的 磁盘 子 系统 必须 要 有 很 高 的 输入 输出 速率 。 为 了 数据 的 
安全 ， 还 要 有 一 定 的 容错 功能 。RAID 提供 了 这 些 功 能 ， 所 以 RAID 被 广泛 地 应 用 在 服务 器 
体系 中 。 RAID 提供 的 容错 功能 是 自动 实现 的 (由 RAID 硬件 或 是 RAID 软件 来 做 )。 它 对 应 
用 程序 是 透明 的 ， 即 无 需 应 用 程序 为 容错 做 半点 工作 。 要 得 到 最 高 的 安全 性 和 最 快 的 恢复 速 
度 ， 可 以 使 用 RAID 1( 镜 像 );， 要 在 容量 、 容 错 和 性 能 上 取 折衷 可 以 使 用 RAID 5。 在 大 多 数 
数据 库 服务 器 中 , 操作 系统 和 数据 库 管理 系统 所 在 的 磁盘 驱动 器 是 RAID 1, 数据 库 的 数据 文 
件 则 是 存放 于 RAID 5 的 磁盘 驱动 器 上 。 


9.4 系统 备份 


系统 文件 是 整个 操作 系统 的 基石 ， 如 果 系 统 文件 遭 到 破坏 ， 将 导致 整个 操作 系统 瘫痪 。 
因此 , 对 系统 文件 进行 备份 是 操作 者 必须 掌握 的 基本 技巧 之 一 。 系统 文件 损坏 的 原因 有 很 多 ， 
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如 操作 失误 、 磁 盘 故 障 、 突 然 停电 、 病 毒 感染 及 其 他 原因 等 。 通 过 对 系统 文件 进行 备份 ， 可 
以 在 系统 文件 受到 损坏 而 导致 系统 不 能 自 检 或 死机 时 ， 利 用 备份 文件 迅速 还 原 系统 。 另 外 ， 
还 可 以 创建 紧急 修复 磁盘 ， 在 紧急 修复 磁盘 中 保存 系统 文件 和 系统 设置 的 信息 。 每 当 对 系统 
做 出 改变 时 ， 如 添加 新 的 硬件 或 安装 新 的 软件 后 ， 都 应 该 运行 该 紧急 修复 磁盘 。 当 系统 文件 
受到 损坏 或 意外 被 删除 时 ， 使 用 紧急 修复 磁盘 可 以 快速 修复 系统 。 

利用 备份 实用 程序 可 以 帮助 用 户 在 遇 到 硬件 或 存储 媒体 发 生 故 障 时 ， 保 护 数据 以 避免 意 
外 丢失 。 例 如 ， 使 用 备份 实用 程序 可 以 创建 硬盘 上 的 数据 备份 ， 然 后 把 这 些 数据 保存 到 其 他 
存储 设备 上 。 在 硬盘 上 的 原始 数据 由 于 硬盘 故障 而 被 意外 删除 、 和 覆盖 或 无 法 访问 时 ， 可 以 轻 
而 易 举 地 从 备份 文件 还 原 数据 。 


9.4.1 备份 整个 系统 


在 备份 系统 文件 时 ， 可 以 根据 备份 向 导 的 提示 逐步 进行 ， 也 可 以 直接 对 选中 的 文件 进行 
备份 。 

下 面 是 备份 整个 系统 的 具体 操作 步骤 。 

(1) 选择 “开始 ” |“ 附件”| “系统 工具 ” |“ 备份 ”命令 ， 打 开 “ 备 份 工具 ”对 话 框 ， 如 
图 9-1 所 示 。 
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9-1 “备份 工具 ”对 话 框 


(2) 在 “备份 工具 ”对 话 框 中 ， 单 击 “ 备 份 向 导 ” 按 钮 ， 打 开 “ 备 份 向 导 ” 对 话 框 ， 如 
图 9-2 所 示 。 

(3) 在 “备份 向 导 ” 对 话 框 中 ， 单 击 “ 下 一 步 ” 按 钮 ， 将 打开 “要 备份 的 内 容 ” 对 话 框 ， 
如 图 9-3 所 示 。 
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图 9-2 “备份 向 导 ” 对 话 框 图 9-3 “要 备份 的 内 容 ” 对 话 框 


(4) 在 “要 备份 的 内 容 ” 对 话 框 中 ， 系 统 提供 了 3 种 备份 方式 : “备份 这 台 计 算 机 的 所 
有 项 目 ”、“ 备 份 选 定 的 文件 、 驱 动 器 或 网 络 数据 ”和 “只 备份 系统 状态 数据 ”。 

如 果 需 要 备份 整个 系统 ， 可 以 选择 “备份 这 台 计 算 机 的 所 有 项 目 ” 单 选 按钮 ， 如果 需 要 
通过 自己 选择 来 备份 一 部 分 系统 文件 或 其 他 文件 ， 可 以 选择 “备份 选 定 的 文件 、 驱 动 器 或 网 
络 数据 ” 单 选 按钮 ; 如 果 只 需要 备份 系统 状态 数据 的 文件 ， 可 以 选择 “只 备份 系统 状态 数据 ” 
单 选 按 钮 。 此 处 在 “要 备份 的 内 容 ” 对 话 框 中 ,选中 “备份 整个 系统 ” 单 选 框 , 然后 单 击 “ 下 
一 步 ”按钮 ， 系 统 打 开 “ 备 份 类 型 、 目 标 和 名 称 ” 对 话 框 ， 如 图 9-4 所 示 。 

(5) 在 “备份 类 型 、 目 标 和 名 称 ” 对 话 框 的 “选择 备份 类 型 ”下 拉 列 表 框 中 ， 系 统 默 认 
备份 媒体 类 型 为 “文件 ”， 文 件 名 为 Backup.bkf， 用 户 也 可 以 输入 其 他 类 型 和 文件 名 取代 默 
认 值 。 可 以 单 击 “ 浏 览 ”按钮 ， 打 开 “ 打 开 ” 对 话 框 ， 在 磁盘 上 选择 保存 备份 的 位 置 ， 然 后 
再 返回 到 “备份 类 型 、 目 标 和 名 称 ” 对 话 框 。 做 好 上 述 选择 后 ， 单 击 “ 下 一 步 ”按钮 ， 系 统 
将 打开 “完成 备份 向 导 ” 对 话 框 ， 如 图 9-5 所 示 。 
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(6) 在 “完成 备份 向 导 ” 对 话 框 中 ， 显 示 了 系统 备份 的 一 系列 信息 ， 包 括 创建 时 间 、 创 
建 的 内 容 、 媒 体 类 型 、 备 份 方式 等 内 容 。 如 果 需 要 指定 更 多 的 备份 选项 ， 可 以 单 击 “高 级 ” 
按钮 ， 打 开 “ 备 份 类 型 ”对 话 框 ， 如 图 9-6 所 示 。 
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(7) 在 “备份 类 型 ”对 话 框 中 ， 可 以 按 需 要 运行 不 同类 型 的 备份 。 在 “选择 要 备份 的 类 
型 ”下 拉 列 表 框 中 可 以 选择 不 同 的 备份 类 型 ， 其 中 包括 “正常 ”、“ 副 本 ”、“ 增 量 ”、“ 差 
异 ” 和 “每 日 ”5 种 备份 类 型 。 

(8) 如 果 选 中 “备份 迁移 的 远程 存储 数据 ” 复 选 框 ， 则 在 备份 的 同时 可 以 将 系统 文件 保 
存 到 远程 计算 机 上 。 完 成 上 述 设置 后 ， 单 击 “ 下 一 步 ”按钮 ， 将 打开 “如 何 备份 ”对 话 框 ， 
如 图 9-7 所 示 。 
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图 9-6 “备份 类 型 ”对 话 框 图 9-7 “如 何 备份 ”对 话 框 


(9) 在 “如 何 备份 ”对 话 框 中 ， 系 统 提示 指定 验证 和 压缩 选项 ， 对 备份 文件 进行 验证 和 
压缩 。 选 中 “备份 后 验证 数据 ” 复 选 框 ， 可 以 通过 验证 读 取 备份 数据 来 验证 备份 的 完整 性 。 
当选 中 该 复 选 框 进行 验证 时 , 系统 需要 额外 的 时 间 , 但 验证 有 助 于 确保 备份 的 成 功 。 选中 “如 
果 可 能 ， 请 使 用 硬件 压缩 ” 复 选 框 ， 这 样 增 加 在 备份 媒体 上 占用 的 存储 空间 ， 降 低 了 存储 成 
本 。 但 是 ， 压 缩 备 份 只 能 在 支持 压缩 的 驱动 器 上 才能 还 原 。 

(10) 完成 上 述 设置 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 备 份 选项 ”对 话 框 。 在 该 对 话 框 中 
可 以 指定 是 否 改写 数据 还 是 限制 对 数据 的 访问 。 在 “如 果 用 来 备份 数据 的 媒体 已 含有 备份 ， 
选择 下 列 一 个 选项 ”选项 区 域 中 ， 如 果 选 择 “ 将 这 个 备份 附加 到 现 有 备份 ” 单 选 按钮 ， 则 可 
以 把 备份 附加 到 选中 的 备份 中 ， 如 果 选 择 “ 替 换 现 有 备份 ” 单 选 按钮 ， 则 可 以 将 媒体 上 已 有 
的 数据 用 当前 的 备份 蔡 换 。 如 果 选 中 “只 人 允许 所 有 者 和 管理 员 访 问 备份 数据 ， 以 及 附加 到 这 
个 媒体 上 的 备份 ” 复 选 框 ， 则 在 备份 后 ， 除 了 所 有 者 和 管理 员 之 外 ， 其 他 人 不 能 访问 备份 数 
据 。 该 复 选 框 适用 于 备份 到 媒体 上 的 所 有 备份 ， 只 有 在 蔡 换 媒体 的 当前 内 容 时 才能 使 用 这 些 
选项 ， 如 图 9-8 所 示 。 

(11) 完成 上 述 设置 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 备 份 时 间 ” 对 话 框 ， 在 该 对 话 框 中 ， 
可 以 指定 运行 备份 的 时 间 ， 既 可 以 现在 运行 ， 也 可 以 计划 以 后 再 运行 。 选 择 “ 现 在 ” 单 选 按 
钮 可 以 立即 运行 备份 ， 如 图 9-9 所 示 。 


图 9-8 “备份 选项 ”对 话 框 图 9-9 “备份 时 间 ” 对 话 框 


(12) 如 果 选 择 “ 以 后 ” 单 选 按 钮 ， 可 以 计划 以 后 运行 备份 ， 则 需要 在 “计划 项 ”选项 区 
域 中 的 “作业 名 ”文本 框 中 输入 作业 的 名 称 ， 同 时 系统 默认 起 始 日 期 为 当前 日 期 。 单 击 “ 设 
定 备份 计划 ”按钮 ， 打 开 “ 计 划 作 业 ” 对 话 框 ， 系 统 默认 打开 的 是 “日 程 安排 ”选项 卡 ， 如 
图 9-10 所 示 。 


图 9-10 “日 程 安排 ”选项 卡 


(13) 在 “日 程 安排 ”选项 卡 中 可 以 设置 计划 任务 的 类 型 , 包括 “每 天 ”、“ 每 周 ”、“ 每 
月 ”、“ 一 次 性 ”、“ 在 系统 启动 时 ”、“ 在 登录 时 ”和 “在 空闲 时 ”7 种 类 型 ， 在 “起 始 
时 间 ” 微 调 框 中 可 以 设置 计划 任务 的 起 始 时 间 ， 单 击 “ 高 级 ”按钮 可 以 继续 设置 一 些 高 级 选 
项 ; 选中 “显示 多 项 计划 ” 复 选 框 ， 可 以 在 该 对 话 框 中 同时 显示 多 项 计划 ， 这 时 在 对 话 框 的 
上 部 会 出 现 一 个 下 拉 列 表 框 ， 从 中 可 以 新 建 或 查看 多 项 计划 。 

(14) 在 “计划 作业 ”对 话 框 中 ， 单 击 “ 设 置 ”标签 打开 “设置 ”选项 卡 。 在 “设置 ” 选 
项 卡 中 ， 对 于 已 经 完成 的 计划 任务 可 以 选中 “如 果 不 计 划 再 重新 运行 任务 ， 请 删除 该 任务 ” 
或 “如 超出 xx 小 时 xx 分 钟 后 ， 停 止 任务 ” 复 选 框 。 在 “空闲 时 间 ” 选 项 区 域 中 ,可 以 设置 “ 仅 
当 计 算 机 空闲 时 间 超 过 xx 分 钟 后 ， 启 动 计划 的 任务 ”; “如 果 计 算 机 还 没有 空闲 很 入， 在 xx 
分 钟 后 重 试 ”; “如 果 计 算 机 在 使 用 中 ,停止 任务 ”。 在 “电源 管理 ”选项 区 域 中 可 以 设置 
“如 果 计 算 机 使 用 电池 来 运行 ， 不 要 启动 任务 ”、“ 如 果 启 动 电池 模式 ,停止 任务 ”或 “唤醒 
这 台 计 算 机 ， 运 行 此 任务 ”， 如 图 9-11 所 示 。 


(15) 设置 完毕 后 ， 单 击 “确定 ”按钮 系统 返回 到 “备份 时 间 ” 对 话 框 。 在 “备份 时 间 ” 
对 话 框 中 ， 单 击 “ 下 一 步 ”按钮 ， 进 入 “完成 备份 向 导 ” 对 话 框 ， 如 图 9-12 所 示 。 
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图 9-11 “设置 ”选项 卡 图 9-12 “完成 备份 向 导 ” 对 话 框 


(16) 在 “完成 备份 向 导 ” 对 话 框 中 显示 了 前 面 做 的 一 些 设置 信息 。 单 击 “ 完 成 ”按钮 ， 
开始 进行 备份 ， 备 份 完 以 后 系统 将 返回 到 如 图 9-1 所 示 的 “备份 工具 ”对 话 框 。 


9.4.2 备份 选 定 的 内 容 


备份 选 定 的 内 容 与 备份 系统 的 操作 类 似 。 

(1) 在 如 图 9-3 所 示 的 “要 备份 的 内 容 ” 对 话 框 中 ， 选 中 “备份 选 定 的 文件 、 驱 动 器 或 
网 络 数据 ” 单 选 按钮 ， 可 以 对 选 定 的 文件 、 驱 动 器 或 网 络 数据 进行 备份 ， 如 图 9-13 所 示 。 

(2) 单 击 “ 下 一 步 ”按钮 ， 打 开 “ 要 备份 的 项 目 ” 对 话 框 ， 如 图 9-14 所 示 。 

(3) 在 “要 备份 的 项 目 ” 对 话 框 中 ， 左 侧 的 目录 区 显示 要 备份 的 项 目 所 在 的 目录 ， 可 以 从 
中 选择 某 个 目录 。 然 后 在 右 侧 的 文件 显示 区 中 选择 要 备份 的 具体 项 目 文件 名 。 只 需 选中 所 需 项 
目前 面 的 复 选 框 ， 即 可 选中 相应 的 驱动 器 、 文 件 夹 或 文件 。 完 成 上 述 选 择 后 ， 单 击 “ 下 一 步 ” 
按钮 ， 将 打开 “备份 类 型 、 目 标 和 名 称 ” 对 话 框 ， 后 面 的 操作 步骤 与 前 面 备份 系统 的 完全 一 样 。 
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图 9-13 “要 备份 的 内 容 ” 对 话 框 图 9-14 “要 备份 的 项 目 ” 对 话 框 
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9.4.3 备份 系统 状态 数据 


备份 系统 状态 数据 的 操作 与 前 面 的 备份 略 有 不 同 ， 下 面 简单 介绍 其 步骤 。 

(1) 在 如 图 9-3 所 示 的 “要 备份 的 内 容 ” 对 话 框 中 ， 选 择 “只 备份 系统 状态 数据 ” 单 选 
按钮 ， 则 可 只 备份 系统 文件 ， 如 图 9-15 所 示 。 

(2) 单 击 “ 下 一 步 ”按钮 ， 打 开 如 图 9-4 所 示 的 “备份 类 型 、 目 标 和 名 称 ” 对 话 框 。 在 
该 对 话 框 的 “键入 这 个 备份 的 名 称 ” 文 本 框 中 输入 要 备份 的 媒体 名 或 文件 名 (Backup bkb。 也 
可 以 单 击 “ 浏 览 ” 按 钮 ， 在 打开 的 “打开 ”对 话 框 中 选择 文件 名 和 文件 类 型 ， 然 后 单 击 “ 打 
开 ” 按 钮 返回 到 上 一 级 对 话 框 ， 单 击 “ 下 一 步 ”按钮 打开 “完成 备份 向 导 ” 对 话 框 ， 然 后 单 
击 “ 完 成 ”按钮 打开 “备份 进度 ”对 话 框 ， 如 图 9-16 所 示 。 
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9-15 “要 备份 的 内 容 ” 对 话 框 图 9-16 “备份 进度 ”对 话 框 


(3) 在 “备份 进度 ”对 话 框 中 ,显示 了 备份 的 进程 及 各 项 参数 的 当前 设置 状态 , 包括 “ 驱 
动 器 ”、“ 标 签 ”、“ 状 态 ”、“ 进 度 ” 及 已 用 时 间 和 估计 剩余 时 间 、“ 正 在 处 理 ” 的 文件 
名 、“ 已 经 处 理 ” 的 “文件 数 ” 和 “ 字 节 数 ” 等 。 完 成 备份 后 单 击 “ 报 表 ” 按 钮 ， 将 打开 备 
份 文件 的 记录 报表 ， 如 图 9-17 所 示 。 


目标 : 文件 
= “Backup-bkF 介 j 建 于 2860_12-11，21:38" 


避 作 没有 成 功 完成 . 


| 避 作 没有 成 功 完成。 
es 


9-17 备份 文件 的 记录 报表 


(4) 在 “备份 进度 ”对 话 框 中 单 击 “ 关 闭 ” 按 钮 即 完成 备份 ， 此 时 系统 生成 一 个 名 为 
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Backup.bkf 的 备份 文件 。 同 时 返回 到 如 图 9-1 所 示 的 “备份 工具 ”对 话 框 。 
9.4.4 备份 数据 的 方法 


备份 实用 程序 支持 以 下 5 种 方法 将 数据 备份 到 计算 机 或 网 络 上 。 
1. 复制 备份 


复制 备份 是 复制 选 定 的 所 有 文件 ， 但 不 对 正在 被 备份 的 每 一 个 文件 都 做 标记 ( 换 句 话说 ， 
就 是 不 设置 档案 文件 的 位 )。 如 果 读 者 希望 在 正常 备份 和 增 量 备份 之 间 备 份 文件 ,那么 复制 备 
份 是 非常 有 效 的 ， 因 为 复制 操作 不 影响 其 他 备份 操作 。 

2. 定期 备份 


定期 备份 是 把 选 定 的 已 经 修改 的 所 有 文件 按 事先 安排 的 日 期 进行 定期 复制 。 备 份 的 文件 
也 不 必 标记 为 已 经 被 备份 ( 换 句 话说 ， 定 期 备份 也 不 设置 档案 文件 的 位 )。 
3. 差异 备份 


差异 备份 是 复制 自 最 后 一 次 正常 备份 或 增 量 备份 以 来 创建 或 修改 过 的 文件 。 同 样 ， 增 量 
备份 后 也 不 将 文件 标记 为 已 经 做 过 备份 。 如 果 正 在 进行 按 正 常备 份 和 差异 备份 的 联合 备份 ， 
那么 还 原 增 量 备份 文件 和 文件 夹 时 ， 则 要 求 用 户 已 经 进行 了 最 后 一 次 正常 备份 及 最 后 一 次 差 
异 备份 。 

4. 增 量 备份 


增 量 备份 是 只 备份 自 最 后 一 次 普通 备份 或 增 量 备份 以 来 又 创建 或 修改 过 的 文件 。 增 量 备 
份 会 把 文件 标记 为 已 经 做 过 备份 ( 换 名 话说， 就 是 要 设置 档案 文件 的 位 )。 如 果 使 用 了 普通 备 
份 和 增 量 备份 的 联合 备份 ， 那 么 将 需要 进行 最 后 的 普通 备份 集 及 所 有 的 增 量 备 份 集 ， 以 便 还 
原 数据 。 

5. 正常 备份 


正常 备份 是 将 选 定 的 文件 都 复制 下 来 , 并 把 每 一 个 文件 都 标记 为 已 经 备份 ( 换 句 话说 , 就 
是 要 设置 档案 文件 的 位 )。 对 于 正常 备份 ， 只 需要 最 新 的 备份 文件 或 磁带 的 副本 ， 以 便 还 原 所 
有 的 文件 。 通 常情 况 下 ， 在 首次 创建 备份 设置 时 应 进行 正常 备份 。 

使 用 正常 备份 和 增 量 备份 联合 的 方法 备份 数据 时 ， 所 要 求 的 存储 空间 最 小 ， 也 是 速度 最 
快 的 备份 方法 。 但 是 ， 这 种 联合 方法 还 原文 件 消耗 时 间 长 ， 而 且 还 原 也 较 困难 ， 因 为 备份 集 
可 以 存放 在 几 个 磁盘 或 磁带 上 。 

使 用 正常 备份 和 差异 备份 联合 方法 备份 数据 是 比较 消耗 时 间 的 , 当 数 据 变化 非常 频繁 时 万 
为 如 此 , 但 是 这 种 方法 还 原 数 据 时 非常 容易 , 因为 备份 集 通常 只 存放 在 少数 几 张 磁盘 或 磁带 上 。 
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9.5 ”数据 的 还 原 


通过 系统 文件 或 其 他 重要 文件 的 备份 ， 一 旦 系统 发 生 故 障 或 出 现 其 他 意外 情况 导致 系统 
不 能 正常 运行 时 ， 可 以 利用 备份 的 数据 文件 迅速 还 原 ， 从 而 确保 系统 的 安全 性 和 稳定 性 。 


9.5.1 利用 还 原 向 导 还 原 备份 


当 出 现 硬件 故障 、 意 外 删除 或 其 他 数据 丢失 或 损坏 时 ， 利 用 还 原 向 导 可 以 还 原 以 前 备份 
的 数据 。 

下 面 介绍 数据 还 原 的 具体 操作 步 又 。 

(1) 在 如 图 9-1 所 示 的 “备份 ”对 话 框 中 单 击 “ 还 原 向 导 ” 按 钮 ， 将 打开 “欢迎 使 用 还 
原 向 时” 对 话 框 ， 如 图 9-18 所 示 。 

(2) 在 “欢迎 使 用 还 原 向 导 ” 对 话 框 中 ， 系 统 提示 可 以 利用 该 向 导 帮 助 还 原 以 前 备份 到 
磁盘 或 磁带 上 的 数据 。 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 还 原 项 目 ” 对 话 框 。 该 对 话 框 中 的 各 选 
项 与 如 图 9-14 所 示 的 “要 备份 的 项 目 ” 对 话 框 中 的 相应 选项 的 含义 基本 相同 , 在 此 不 再 效 述 ， 
如 图 9-19 所 示 。 


还 原 和 导 Xx| 


还 原 项 目 
您 可 还 原 任何 组 全 形式 的 8 动 器 文件 于 文件 。 厂 
:用 二 


欢迎 使 用 还 原 向 导 


向 导 会 攻 册 修 还 原 以 前 备 供 到 磁带 或 磁盘 上 的 激扬 。 


要 投 续 ,请 单 击 “ 下 一 步 ”。 


图 9-18 “欢迎 使 用 还 原 向 导 ” 对 话 框 图 9-19 “还 原 项 目 ” 对 话 框 


(3) 设置 好 各 选项 之 后 ， 单 击 “ 下 一 步 ”按钮 ， 打开“ 完成 还 原 向 导 ” 对 话 框 ， 如 图 9-20 
所 示 。 

(4) 在 “完成 还 原 向 导 ” 对 话 框 中 ， 列 出 了 还 原 选项 的 各 项 设置 。 如 果 需 要 指定 额外 的 
选项 ， 还 可 以 单 击 “ 高 级 ”按钮 ， 打 开 “ 还 原 位 置 ” 对 话 框 。 在 该 对 话 框 中 可 以 指定 还 原 的 
位 置 ， 包 括 “ 原 位 置 ”、“ 备 用 位 置 ” 和 “单个 文件 夹 ”3 种 选择 ， 如 图 9-21 所 示 。 如 果 选 
择 “ 备 用 位 置 ” 和 “单个 文件 夹 ”选项 ， 则 提示 指定 “备用 位 置 ”。 
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完成 还 原 向 导 


已 了 区 成 还原 庄 导 。 悠 指定 了 下 下 香 HR 二 


要 关闭 这 个 向 导 并 开始 下 原 ， 请 单 击 “ 完 焉 ” 
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9-20 “完成 还 原 向 导 ” 对 话 框 图 9-21 “还 原 位 置 ” 对话 框 


(5) 当 设 置 好 还 原 的 位 置 后 ， 单 击 “ 下 一 步 ”按钮 ， 系 统 将 打开 “如 何 还 原 ” 对 话 框 。 
在 该 对 话 框 中 ， 可 以 选择 还 原 已 经 在 磁盘 上 的 文件 的 方法 ， 包 括 “ 保 留 现 有 文件 ”、“ 如 果 
现 有 文件 比 备份 文件 上 日， 将 其 蔡 换 ”和 “ 蔡 换 现 有 文件 ”3 种 ， 如 图 9-22 所 示 。 

(6) 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 高 级 还 原 选项 ”对 话 框 。 在 该 对 话 框 中 可 以 选择 还 原 
安全 措施 或 特殊 系统 文件 ， 如 图 9-23 所 示 。 
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还 麻 二 复 机 上 已 存在 的 交 件 时 0) 过 将 要 使 朋 的 过 项 - 
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a 人 F 到 但 而 还 系 交 搜 点 引用 的 文件 夹 各 文件 数 
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9-22 “如 何 还 原 ” 对 话 框 9-23 “高 级 还 原 选项 ”对 话 框 


(7) 设置 好 还 原 安全 措施 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 完 成 还 原 向 导 ” 对 话 框 ， 如 


图 9-24 所 示 。 
Ew 
9-24 “完成 还 原 向 导 ” 对 话 框 
| 
Fozl 


(8) 单 击 “完成 ”按钮 ， 系 统 将 打开 “还 原 进度 ”对 话 框 并 开始 还 原 。 还 原 完成 后 ， 在 


该 对 话 框 中 将 显示 还 原 的 各 项 状态 , 单 击 “ 关 闭 ” 按 钮 完成 备份 文件 的 还 原 ， 系 统 返回 到 “ 备 
份 ”对 话 框 。 


9.5.2 ”文件 和 文件 夹 的 简单 还 原 


在 备份 -还 原 操作 中 ， 文 件 和 文件 夹 的 备份 -还 原 是 使 用 最 为 普遍 的 。 下 面 就 介绍 一 下 简 
单 还 原文 件 、 文 件 夹 操 作 的 基本 功能 和 步骤 。 
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选择 要 还 原 的 文件 和 文件 夹 


备份 实用 程序 在 备份 时 提供 了 文件 和 文件 夹 的 树 状 视图 ， 可 以 使 用 该 树 状 视图 选择 要 还 
原 的 文件 和 文件 夹 。 这 种 树 状 视图 的 使 用 方法 与 Windows 资源 管理 器 的 使 用 方法 相同 ,可 以 
直接 从 中 打开 驱动 器 和 文件 夹 ， 然 后 选择 要 还 原 的 文件 。 


2. 选择 还 原 位 置 
备份 实用 程序 允许 用 户 选择 以 下 3 种 目标 之 一 作为 还 原 的 文件 。 


3. 


可 以 把 备份 的 数据 还 原 到 原来 的 文件 夹 或 备份 时 数据 所 在 的 文件 夹 。 对 还 原 已 经 受 
到 损坏 或 丢失 的 文件 和 文件 夹 ， 该 选项 是 非常 有 效 的 。 

可 以 把 备份 的 数据 还 原 到 另 一 个 文件 来。 如 果 选 择 这 个 选项 ， 备 份 文件 夹 的 结构 和 
其 中 的 文件 则 保留 在 另 一 个 文件 夹 中 。 如 果 用 户 已 经 知道 将 需要 某 些 旧 文件 夹 ， 但 
不 想 覆 盖 或 改变 磁盘 上 的 当前 文件 或 文件 夹 ， 则 使 用 此 选项 是 非常 有 效 的 。 

可 以 把 备份 的 文件 还 原 到 单一 文件 夹 中 。 使 用 此 选项 将 不 保留 备份 文件 夹 和 文件 的 
结构 ， 只 有 备份 的 文件 才能 定位 在 单一 文件 夹 中 。 如 果 正 在 查找 某 个 文件 但 又 不 知 
道 它 的 位 置 ， 这 时 使 用 该 选项 是 非常 有 效 的 。 


设置 还 原 选项 


避 | 


备份 实用 程序 在 “选项 ”对 话 框 中 为 用 户 提供 了 如 何 还 原 的 选项 设置 ， 利 用 该 对 话 框 可 
以 选择 还 原文 件 和 文件 夹 的 各 种 方法 。 供 选择 的 有 以 下 3 个 选项 。 


“保留 现 有 文件 ” 单 选 按钮 : 选择 该 选项 后 ， 可 以 防止 硬盘 上 的 文件 被 覆盖 。 这 是 还 
原文 件 最 安全 的 一 种 方法 。 

“如 果 现 有 文件 比 备份 文件 旧 ， 将 其 替换 ” 单 选 按钮 : 选择 该 选项 后 ， 如 果 自 最 后 一 
次 备份 数据 以 来 已 经 损坏 了 文件 ， 那 么 该 选项 可 以 保证 对 文件 所 作 的 修改 丝毫 无 
损 。 

“ 蔡 换 现 有 文件 ” 单 选 按钮 ， 即 用 备份 集中 的 文件 替换 硬盘 上 的 全 部 文件 。 如 果 自 最 
后 一 次 备份 数据 以 来 已 经 对 数据 做 过 修改 ， 则 该 选项 将 删除 这 些 修改 。 
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当 开 始 还 原 操作 时 ， 备 份 实用 程序 将 提示 用 户 确认 是 否 已 经 做 好 数据 还 原 的 准备 ， 此 时 
还 有 机 会 设置 高 级 还 原 选 项 , 包括 是 否 想 恢 复 安 全 设置 、 活 动 存储 设备 数据 库 和 连接 点 数据 等 。 

用 户 既 可 以 使 用 备份 实用 程序 以 FAT 容量 备份 和 还 原 数据 , 也 可 以 以 NTFS 容量 备份 和 
还 原 数据 。 然 而 ， 如 果 已 经 在 Windows Server 2003 中 使 用 了 NTFS 容量 备份 数据 ,那么 该 备 
份 实用 程序 会 推荐 将 数据 还 原 成 在 Windows Server 2003 中 使 用 的 NTFS 容量 , 否则 可 能 会 丢 
失 数 据 及 某 些 文件 和 文件 夹 特性 。 例如 ,如果 在 Windows Server 2003 中 使 用 NTFS 容量 备份 
数据 ， 然 后 将 其 还 原 为 在 Windows 2000 中 使 用 的 FAT 容量 或 NTFS 容量 ， 那 么 许可 文件 、 
加 密 文件 系统 (EFS) 设 置 、 磁 盘 配 额 信息 、 己 安装 的 驱动 器 信息 和 远程 存储 器 信息 等 都 将 丢失 。 
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只 有 管理 员 或 备份 操作 者 才能 备份 文件 和 文件 夹 。 注 册 表 、 活 动 文件 夹 目 录 服 务 

和 其 他 关键 系统 组 件 都 包含 在 “系统 状态 ”数据 中 。 如 果 用 户 希 望 备份 和 还 原 这 些 组 

件 ， 就 必须 备份 该 “系统 状态 ”数据 。 

如 果 还 原 “ 系 统 状态 ”数据 ， 并 且 不 为 还 原 的 数据 指定 具体 的 可 蔡 换 位 置 ， 那 么 备份 实 
用 程序 将 删除 该 “系统 状态 ”数据 。 这 时 该 “系统 状态 ”数据 当前 位 于 计算 机 上 ， 并 用 正在 
还 原 的 “系统 状态 ”数据 替换 它 。 同 样 ， 如 果 将 “系统 状态 ”数据 还 原 到 一 个 可 蔡 换 位 置 ， 
那么 只 有 注册 表 文件 、SYSVOL 目 录 文 件 和 系统 引导 文件 还 原 到 该 可 替换 位 置 。 如 果 指定 了 
一 个 可 替换 的 位 置 ， 则 活动 文件 夹 目录 服务 数据 库 、 验 证 服务 数据 库 和 COM+ 类 注册 数据 库 
将 不 能 还 原 。 

为 了 还 原 域 控制 器 上 的 “系统 状态 ”数据 ， 必 须 首先 以 目录 服务 还 原 模式 启动 计算 机 ， 
这 样 将 允许 还 原 SYSVOL 目录 和 活动 目录 。 另外 , 用户 只 能 还 原本 地 计算 机 上 的 “系统 状态 ” 
数据 ， 而 不 能 还 原 远 程 计算 机 上 的 “系统 状态 ”数据 。 管 理 员 和 备份 操作 者 不 必 解 密 文件 和 
文件 夹 就 可 以 还 原 加 密 的 文件 和 文件 夹 。 


9.5.3 备份 作业 计划 


用 户 也 可 以 事先 为 备份 制订 作业 计划 ， 确 定 了 备份 的 日 期 和 时 间 后 ， 当 系统 时 间 到 指定 
的 时 间 时 ， 可 以 自动 按 事 先 设 定 的 备份 选项 和 安排 进行 备份 。 

下 面 是 备份 作业 计划 的 具体 操作 步 又。 

(1) 在 “备份 ”对 话 框 中 ， 单 击 “ 计 划 作业 ”标签 ， 打开 “计划 作业 ”选项 卡 ， 如 图 9-25 
所 示 。 
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图 9-25 “计划 作业 ” 选项 卡 


(2) 在 “计划 作业 ”选项 卡 中 ， 单 击 “ 添 加 作业 ”按钮 ， 打 开 如 图 9-2 所 示 的 “备份 向 
导 ” 的 欢迎 画面 ， 从 中 单 击 “ 下 一 步 ”按钮 ， 打 开 如 图 9-3 所 示 的 “要 备份 的 内 容 ” 对 话 框 ， 
从 中 选择 要 备份 的 资料 类 型 。 

(3) 单 击 “ 下 一 步 ”按钮 ， 打 开 如 图 9-4 所 示 的 “备份 类 型 、 目 标 和 名 称 ” 对 话 框 ， 在 
该 对 话 框 中 确定 备份 媒体 类 型 和 文件 名 之 后 ， 单 击 “ 下 一 步 ”按钮 打开 “如 何 备 份 ”对 话 框 ， 
在 此 对 话 框 中 可 以 设置 在 备份 后 是 否 进行 验证 。 

(4) 然后 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 备 份 选项 ”对 话 框 ， 在 该 对 话 框 中 可 以 指定 是 否 
要 改写 数据 还 是 限制 对 数据 的 访问 。 继 续 单 击 “ 下 一 步 ”按钮 打开 “备份 标签 ”对 话 框 ， 在 
该 对 话 框 中 需要 指定 备份 的 标签 和 正在 使 用 的 标签 。 然 后 单 击 “下 一 步 ” 按 钮 ， 在 打开 的 对 
话 框 中 指定 是 现在 运行 备份 还 是 以 后 再 运行 。 若 要 以 后 再 运行 ， 可 以 选中 “以 后 ” 单 选 按钮 ， 
此 时 在 “作业 名 ”文本 框 中 输入 该 作业 的 名 称 。 

(5) 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 完 成 备份 向 导 ” 对 话 框 ， 单 击 “ 完 成 ”按钮 ， 系 统 返 
回 图 9-25 所 示 的 “计划 作业 ”选项 卡 。 至 此 ， 一 个 备份 作业 计划 就 完成 了 。 


9.6 备份 操作 者 和 用 户 权 限 


为 了 系统 的 安全 和 操作 的 可 靠 性 ， 必 须 对 备份 和 还 原 操作 设置 必要 的 访问 权限 ， 这 样 可 
以 防止 未 经 授权 而 擅自 闻 入 者 的 破坏 而 造成 数据 的 损失 和 泄密 。 为 此 ，Windows Server 2003 
对 系统 备份 和 还 原 提供 了 设置 用 户 访问 权限 的 功能 。 


9.6.1 访问 许可 和 用 户 权 限 
要 备份 文件 和 文件 夹 ， 必 须 具有 确定 的 许可 和 用 户 权 限 。 如 果 用 户 是 一 位 系统 管理 员 或 


备份 操作 员 ， 那么， 可 以 备份 本 地 计算 机 上 的 任何 文件 和 文件 夹 ， 以 供 本 系统 的 应 用 。 同 样 ， 
如 果 用 户 是 域 控制 器 的 管理 员 或 备份 操作 员 ， 那 么 可 以 备份 该 域 中 任何 计算 机 ， 或 者 与 用 户 建 
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立 也 双向 信任 关系 的 域 中 的 任何 计算 机 上 的 任何 文件 和 文件 夹 (“系统 状态 ”数据 除外 )。 然 而 ， 
如 果 用 户 不 是 管理 员 或 备份 操作 员 但 又 想 备 份 文件 ， 则 必须 是 要 备份 的 文件 和 文件 夹 的 拥有 
者 ， 或 者 对 要 备份 的 文件 和 文件 夹具 有 一 项 或 多 项 许可 如 读 、 读 和 运行 、 修 改 或 全 面 控制 等 。 

要 备份 文件 和 文件 夹 ， 还 必须 确保 没有 限制 访问 硬盘 的 磁盘 配额 限制 ， 否 则 备份 数据 将 
无 法 进行 。 通 过 右 击 要 保存 数据 的 磁盘 ， 从 弹出 的 快捷 菜单 中 选择 “特性 ”命令 ， 然 后 打开 
“配额 ”选项 卡 ， 从 中 检查 是 否 有 磁盘 配额 限制 。 

在 “备份 作业 信息 ”对 话 框 中 通过 选择 “只 允许 拥有 者 和 管理 员 访问 备份 数据 ” 单 选 按 
钮 ， 也 可 以 限制 访问 备份 文件 。 如 果 选 择 了 此 选项 ， 则 只 有 管理 员 或 创建 备份 的 人 才能 还 原 
这 些 文件 和 文件 夹 。 


只 能 在 本 地 计算 机 上 备份 “系统 状态 ”数据 。 即 使 是 远程 计算 机 上 的 管理 员 ， 也 
不 能 备份 远程 计算 机 上 的 “系统 状态 ”数据 。 


9.6.2 向 备份 操作 员 组 增加 用 户 


为 了 加 强 数据 备份 的 管理 ， 可 以 建立 操作 者 组 ， 只 有 该 组 的 成 员 才 能 备份 和 访问 备份 数 
据 。 有 时 需要 向 该 组 增加 新 的 成 员 ， 以 便 加 强 管理 。 

下 面 就 介绍 向 备份 操作 员 组 添加 新 用 户 的 操作 步 又 。 

(1) 选择 “开始 ”| “管理 工具 ”|“Active Directory 用 户 和 计算 机 ”命令 ,打开 “Active 
Directory 用 户 和 计算 机 ”窗口 ， 如 图 9-26 所 示 。 

(2) 在 “Active Directory 用 户 和 计算 机 ”窗口 左 侧 的 树 状 目录 中 展开 Users 节点 , 在 右 侧 
的 详细 资料 窗 格 中 右 击 Backup Operators 选项 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 
济 ie Operators 属性 ”对 话 框 ， 如 图 9-27 所 示 。 
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9-26 “Active Directory 用 户 和 计算 机 ”窗口 9-27 “Backup Operators 属性 ”对 话 框 
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(3) 在 “Backup Operators 属性 ”对 话 框 中 ， 单 击 “ 成 员 ” 标 签 ， 打 开 “ 成 员 ” 选 项 卡 ， 
单 击 下 方 的 “添加 ”按钮 ， 打 开 “ 选 择 用 户 、 联 系 人 、 计 算 机 或 组 ”对 话 框 ， 如 图 9-28 所 示 。 


(4) 在 “选择 用 户 、 联 系 人 、 计 算 机 或 组 ”对 话 框 中 的 “名 称 ” 文 本 框 中 输入 希望 成 为 
备份 操作 者 的 域 和 用 户 名 ， 单 击 “ 确 定 ”按钮 即 可 。 
(5) 最 后 依次 单 击 “ 确 定 ” 按 钮 ， 直 到 返回 最 顶层 的 对 话 框 。 至 此 输入 的 用 户 名 即 可 成 
为 备份 操作 员 。 


选择 用 户 、 联 系 人 、 计 算 机 或 组 
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“选择 用 户 、 联 系 人 、 计 算 机 或 组 ”对 话 框 


只 有 管理 员 组 的 成 员 才 能 指派 用 户 成 为 备份 操作 员 。 


9.7 ”系统 恢复 


同 其 他 操作 系统 一 样 ，Windows Server 2003 也 可 能 因为 系统 或 用 户 操作 失误 而 导致 系统 
衣 省 。 一 旦 系统 发 生 问 题 ， 就 需要 使 用 各 种 恢复 方法 和 手段 来 解决 问题 。 本 节 将 详细 介绍 如 
何 解 决 系统 可 能 出 现 的 几 种 问题 、 如 何 使 用 有 助 于 启动 系统 的 选项 (否则 就 不 能 启动 )、 如 何 
使 用 Windows Server 2003 中 的 修复 和 恢复 选项 ， 以 及 关于 故障 排除 的 信息 。 


Fe VWIndows 


已 系统 管理 时 
9.7.1 恢复 系统 前 的 准备 


在 系统 出 现 故障 之 前 ， 用 户 通常 需要 事先 采取 一 些 安全 措施 ， 以 便 预 防磁 盘 损 坏 或 者 其 
他 严重 的 系统 故障 。 其 中 要 做 的 主要 工作 包括 定期 备份 系统 文件 、 硬 件 配置 文件 ， 设 置 系统 
异常 停止 时 Windows Server 2003 的 对 应 策略 ， 以 及 制作 系统 启动 盘 和 紧急 修复 磁盘 等 。 下面 
针对 这 几 项 不 同 的 措施 进行 详细 介绍 。 

。 执行 常规 的 系统 备份 ， 配 置 容错 能 力 。 如 磁盘 镜像 、 检 查 病 毒 ， 以 及 进行 其 他 标准 
管理 例 程 ， 如 使 用 “性 能 日 志和 警报 ”来 检查 事件 日 志 。 如 果 磁 盘 或 其 他 硬件 无 法 
工作 ， 那 么 这 些 工 作 将 有 助 于 保护 数据 并 提出 警告 。 

。 设置 系统 异常 停止 时 Windows Server 2003 的 反应 措施 。 例 如 ， 可 以 指定 计算 机 自动 
重新 启动 ， 并 且 可 以 控制 其 日 志方 式 。 要 指定 这 些 选 项 ， 可 以 在 “我 的 电脑 ”图 标 
上 右 击 ， 然 后 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 在 打开 的 “属性 ”对 话 框 选 
择 “高 级 ”选项 卡 ， 选 中 “启动 和 恢复 ” 复 选 框 ， 即 可 对 启动 和 恢复 选项 进行 设置 。 

e 使 用 Windows Server 2003 备份 程序 制作 (并 定期 更 新 ) 紧 急 修复 磁盘 。 

。 使 用 “自动 系统 恢复 准备 ”向 导 制 作 并 定期 更 新 系统 文件 和 Windows Server 2003 所 
使 用 的 分 区 上 的 其 他 文件 的 备份 。 


9.7.2 ”制作 用 于 引导 无 效 系统 的 启动 盘 


对 于 不 能 从 光盘 引导 的 计算 机 ， 为 了 预防 系统 出 现 故 障 而 无 法 引导 ， 则 应 该 制作 用 来 引 
导 计 算 机 的 启动 软盘 。 不 过 ， 在 用 户 决 定 用 光驱 或 软盘 引导 之 前 ， 应 该 首先 尝试 用 “安全 模 
式 ” 启 动 计算 机 。 用 软盘 启动 计算 机 之 后 ， 可 以 设置 “恢复 控制 台 ”、“ 紧 急 修复 磁盘 ”( 如 
果 已 经 事先 准备 了 ) 或 “自动 系统 恢复 ”( 如 果 用 户 准备 好 了 需要 的 备份 介质 ) 等 选项 。 

在 运行 Windows 或 MS-DOS 的 计算 机 上 可 以 使 用 Windows Server 2003 安装 光盘 来 制作 
用 于 引导 无 效 系统 的 启动 盘 。 用 户 需 要 准备 4 张 空白 的 、 格 式 化 好 的 3.5 英寸 1.44MB 软盘 。 
把 它们 分 别 标注 为 “启动 盘 1”、“ 启 动 盘 2”、“ 启 动 盘 3” 和 “启动 盘 4”。 

要 制作 启动 (或 引导 ) 系 统 的 软盘 ， 可 以 参照 以 下 步 又 进行 操作 。 

(1) 将 空白 的 、 格 式 化 好 的 1.44MB 软盘 插入 计算 机 的 软盘 驱动 器 中 ， 当 前 计算 机 运行 
的 可 以 是 Windows 或 MS-DOS 操作 系统 。 然 后 将 Windows Server 2003 光盘 放 入 光驱 。 

(2) 选择 “开始 ”菜单 的 “运行 ”命令 ， 在 “运行 ”对 话 框 的 “打开 ”文本 框 中 ， 输 入 
Gi\bootdisk\makeboot.bat(G 盘 是 分 配给 光驱 的 驱动 器 号 )， 然 后 单 击 “ 确 定 ” 按 钮 ， 系 统 将 打 
开 命令 提示 符 窗口 。 

(3) 在 该 窗口 中 , 系统 会 提示 用 户 准备 4 张 已 格式 化 好 的 空 软盘 ,并 输入 软盘 驱动 器 号 ( 通 
常 软盘 驱动 器 号 为 A)， 输 入 后 系统 提示 用 户 插 入 空白 软盘 ， 开 始 制作 引导 盘 。 

(4) 依次 插入 软盘 并 按照 屏幕 提示 即 可 完成 其 余 操作 。 
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9.7.3 ”系统 不 能 启动 时 的 解决 方案 


Windows Server 2003 提供 了 许多 在 系统 不 能 启动 时 可 以 采用 的 方法 。 第 一 种 方法 是 “安全 
模式 ”和 相关 的 启动 选项 ， 该 方法 仅 使 用 必需 的 服务 来 启动 系统 。 如 果 新 安装 的 驱动 程序 是 引 
起 系统 启动 失败 的 原因 ， 那 么 使 用 “安全 模式 ”选项 中 的 “最 后 一 次 正确 的 配置 ”会 非常 有 效 。 

如 果 “ 安 全 模式 ”没有 起 作用 ， 则 可 以 考虑 使 用 “恢复 控制 台 ”， 这 种 方法 只 推荐 给 高 
级 用 户 或 管理 员 使 用 。 启 动 的 方法 是 先 使 用 安装 光盘 或 用 光盘 制作 的 软盘 引导 ， 然 后 访问 恢 
复 控制 台 (命令 行 式 的 界面 )， 可 以 用 它 完成 诸如 启动 和 停止 某 项 服务 、 读 取 或 修改 本 地 驱动 
器 (包括 NTFS 格式 的 驱动 器 ) 之 类 的 操作 。 

如 果 安 全 模式 和 恢复 控制 台 都 不 能 修复 系统 ， 还 可 以 尝试 使 用 “紧急 修复 磁盘 ”或 “ 自 
动 系 统 恢复 ”方案 , 它们 都 是 Windows Server 2003 备份 工具 的 一 部 分 。Windows Server 2003 
备份 程序 可 以 帮助 用 户 制作 相应 的 备份 用 于 修复 和 恢复 。 当 出 现 系 统 故障 时 ， 可 以 先 使 用 安 
装 光盘 或 制作 的 引导 软盘 来 启动 系统 ， 然 后 使 用 这 些 事先 准备 好 的 备份 介质 恢复 系统 功能 。 

“紧急 修复 磁盘 ”只 能 修复 核心 系统 文件 ， 而 “自动 系统 恢复 ” 则 能 够 制作 用 于 恢复 本 地 系 
统 分 区 上 所 有 文件 的 扩展 系统 备份 。 


1. 使 用 安全 模式 修复 系统 


当 计 算 机 不 能 启动 时 ， 可 以 使 用 “安全 模式 ”或 者 其 他 启动 选项 以 最 少 服务 的 方式 来 启 
动 计算 机 。 如 果 用 “安全 模式 ”成 功 地 启动 了 计算 机 ， 那 么 用 户 就 可 以 更 改 配置 来 排除 导致 
故障 的 因素 (如 删除 或 重新 配置 引起 问题 的 新 安装 的 驱动 程序 )。 

下 面 将 介绍 “安全 模式 ”和 Windows Server 2003 中 的 其 他 类 型 的 高 级 启动 选项 。“ 安 全 模 
式 ” 可 以 访问 所 有 的 分 区 ， 不 管 是 何 种 文件 系统 : FAT、FAT32 或 者 NTFS( 磁 盘 本 身 功 能 正常 )。 

如 果 用 户 在 计算 机 上 正在 使 用 远程 安装 服务 安装 Windows Server 2003, 那么 高 级 启动 选 
项 除了 包含 下 面 的 这 些 选项 ， 还 会 有 与 使 用 远程 安装 服务 恢复 系统 相关 的 选项 。 

。 基本 安全 模式 

仅 使 用 最 基本 的 系统 模块 和 驱动 程序 启动 Windows Server 2003， 不 加 载 网 络 支持 。 加 载 
的 驱动 程序 和 模块 用 于 鼠标 、 监 视 器 、 键 盘 、 海 量 存 储 器 、 基 本 视频 和 默认 系统 服务 。 安 全 
模式 也 可 以 启用 启动 日 志 。 

。 带 网 络 连 接 的 安全 模式 

仅 使 用 基本 的 系统 模块 和 驱动 程序 启动 Windows Server 2003， 并 且 加 载 网 络 支持 ， 但 不 
支持 PCMCIA 网 络 。 带 网 络 连 接 的 安全 模式 也 可 以 启用 启动 日 志 。 

。 带 命令 行 提示 的 安全 模式 

仅 使 用 基本 的 系统 模块 和 驱动 程序 启动 Windows Server 2003， 不 加 载 网 络 支 持 ， 并 且 只 
显示 命令 行 提示 。 带 命令 行 提示 的 安全 模式 也 可 以 启用 启动 日 志 。 
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se ”启用 启动 日 志 模 式 
生成 正在 加 载 的 驱动 程序 和 服务 的 启动 日 志文 件 。 该 日 志文 件 命 名 为 Ntbtlog txt， 并 保 
存在 系统 根 目录 中 。 

。 启用 VGA 模式 

使 用 基本 的 VGA( 视 频 ) 驱 动 程序 启动 Windows Server 2003。 如 果 导 致 Windows Server 
2003 不 能 正常 启动 的 原因 是 安装 了 新 的 视频 卡 驱动 程序 ， 那 么 该 模式 将 很 有 用 。 其 他 安全 模 
式 也 只 使 用 基本 的 视频 驱动 程序 。 

。 最 后 一 次 正确 的 配置 

使 用 Windows 在 最 后 一 次 关机 时 保存 的 设置 (注册 信息 ) 来 启动 Windows Server 2003。 仅 
在 配置 错误 时 使 用 ， 不 能 解决 由 于 驱动 程序 或 文件 破坏 或 丢失 而 引起 的 问题 。 


当 用 户 选 择 “最 后 一 次 正确 的 配置 ”选项 时 ， 则 在 此 最 后 一 次 正确 的 配置 之 后 所 
做 的 修改 和 系统 设置 将 丢失 。 


。 目录 服务 恢复 模式 

恢复 域 控制 器 的 活动 目录 信息 , 该 选项 只 用 于 Windows Server 2003 域 控制 器 , 而 不 能 用 
于 Windows Server 2003 Professional 或 者 成 员 服务 器 。 

。 调试 模式 

启动 Windows Server 2003 时 ， 通 过 串 行 电缆 将 调试 信息 发 送 给 另 一 台 计 算 机 。 

用 户 要 使 用 安全 模式 或 其 他 启动 选项 启动 计算 机 ， 可 以 参照 以 下 步骤 进行 操作 。 

(1) 重新 启动 计算 机 。 

(2) 当 “ 启 动 ”菜单 出 现时 ， 按 F8 键 。 

(3) 使 用 方向 键 选择 要 使 用 的 “高 级 启动 ”选项 ， 然 后 按 Enter 键 。 要 直接 返回 “启动 ” 
菜单 ， 请 按 Esc 键 。 

(4) 使 用 方向 键 选择 用 来 启动 计算 机 的 Windows Server 2003 操作 系统 。 如 果 用 户 选 择 了 
某 种 “安全 模式 ”选项 ， 此 时 请 选择 某 个 版 本 的 Windows Server 2003， 而 不 要 选择 Windows 
Server 2003 之 前 的 Windows 版 本 。 


2. 使 用 恢复 控制 台 的 方式 修复 系统 


如 果 安 全 模式 和 其 他 启动 选项 都 不 能 成 功 启动 Windows Server 2003, 那么 用 户 可 以 考虑 
使 用 恢复 控制 台 。 这 种 方法 只 推荐 给 高 级 用 户 和 管理 员 使 用 ， 他 们 能 够 使 用 基本 命令 来 识别 
和 确定 有 问题 的 驱动 程序 和 文件 。 恢 复 控制 台 是 命令 行 式 的 控制 台 ， 需 要 先 用 安装 光盘 或 者 
用 光盘 制作 的 软盘 来 启动 计算 机 ， 然 后 使 用 该 控制 台 。 


要 使 用 恢复 控制 台 ， 必 须 使 用 管理 员 帐 户 登录 。 它 提供 的 命令 包括 查看 目录 或 改名 的 常 
规 命 令 以 及 一 些 高 级 命令 ， 如 检修 引导 扇 区 。 在 恢复 控制 台 命 令 行 提示 符 下 输入 help 可 以 查 
看 命令 的 帮助 信息 。 

使 用 恢复 控制 台 ， 可 以 启动 或 停止 某 项 服务 功能 、 读 写本 地 驱动 器 上 的 数据 (包括 NTFS 
格式 的 驱动 器 )、 从 软盘 或 光盘 复制 数据 、 格 式 化 驱动 器 、 检 修 引 导 扇 区 或 者 主 引导 记录 , 或 
执行 其 他 管理 任务 。 在 很 多 情况 下 恢复 控制 台 非 常 有 用 ， 如 要 修复 系统 必须 把 某 些 文件 从 软 
盘 或 光盘 复制 到 硬盘 中 ， 或 者 需要 重新 配置 用 于 启动 的 服务 时 。 这 些 情况 下 ， 可 以 使 用 “ 恢 
复 控制 台 ” 把 正确 的 文件 从 软盘 直接 复制 到 硬盘 ， 蔡 代 那 些 被 破坏 的 驱动 程序 和 文件 。 

要 启动 计算 机 并 使 用 恢复 控制 台 ， 可 以 参照 以 下 步骤 进行 操作 。 

(1) 插入 Windows Server 2003 安装 光盘 或 者 是 用 光盘 创建 的 第 一 张 软盘 (不 能 从 光驱 引 
导 的 系统 必须 使 用 软盘 )。 如 果 使 用 软盘 ， 就 需要 重新 启动 计算 机 并 按照 要 求 依次 更 换 软盘 。 

(2) 安装 程序 的 界面 出 现 以 后 系统 会 显示 提示 , 按 R 键 即 可 选择 “修复 或 者 恢复 ”选项 。 
在 提示 出 现 后 ， 按 C 键 可 选择 “恢复 控制 台 ”。 

(3) 按照 屏幕 上 的 提示 重新 插入 一 张 或 多 张 用 于 启动 系统 的 软盘 。 

(4) 如 果 系 统 配 置 了 双重 启动 或 多 重启 动 ， 那 么 应 该 选择 “恢复 控制 台 ” 要 操作 的 是 哪 
个 Windows Server 2003 系统 。 

(5) 根据 提示 输入 管理 员 密 码 ， 在 系统 提示 符 后 ， 可 输入 “恢复 控制 台 ” 所 支持 的 操作 
命令 。 输 入 help 可 以 显示 命令 列表 ， 输 入 “help 命令 名 称 ” 可 以 显示 命令 的 帮助 信息 。 

(6) 要 退出 “恢复 控制 台 ”， 并 重新 启动 计算 机 可 以 输入 exit。 

如 果 用 户 要 在 正常 运行 Windows Server 2003 的 计算 机 上 使 用 恢复 控制 台 , 可 以 参照 以 下 
步骤 进行 操作 。 

(1) 将 Windows Server 2003 安装 光盘 插入 光驱 中 。 

(2) 选择 “开始 ”菜单 的 “运行 ”命令 ， 在 “运行 ”对 话 框 的 “打开 ”文本 框 中 输入 合 
适 的 命令 ， 对 于 基于 Pentium( 基 于 Intel) 的 计算 机 ， 可 以 输入 G:\i386\winnt32/cmdcons( 其 中 
G: 是 光驱 的 盘 符 )。 

(3) 如 果 配 置 了 双重 启动 或 多 重启 动 ， 需 要 选择 恢复 控制 台 要 操作 的 Windows Server 
2003 系统 。 

(4) 根据 提示 输入 管理 员 密 码 ， 在 系统 提示 符 后 ， 可 以 输入 “恢复 控制 台 ” 所 支持 的 
操作 命令 。 

(5) 要 退出 “恢复 控制 台 ” 并 重新 启动 计算 机 可 以 输入 exit。 


9.7.4 ”使 用 “自动 系统 恢复 向 导 ” 修 复 损坏 的 系统 


如 果 Windows Server 2003 系统 不 能 启动 , 而 且 使 用 安全 模式 或 者 恢复 控制 台 的 方式 都 
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不 管用 ， 那 么 可 以 使 用 创建 紧急 修复 磁盘 或 还 原 整个 系统 数据 的 方式 对 系统 进行 修复 。 当 发 
生硬 盘 被 破坏 或 者 系统 文件 被 删除 的 情况 时 ， 管 理 员 都 可 以 使 用 这 些 方法 对 系统 进行 修复 。 
这 些 修复 系统 的 方法 要 求 用 户 事先 使 用 Windows Server 2003 中 的 “备份 /还 原 ” 工 具 对 系统 
数据 进行 了 备份 。 

在 计算 机 正常 运行 时 ， 用 户 可 以 通过 “备份 ”向 导 备 份 整个 系统 的 数据 ， 用 于 在 系统 出 
现 故障 时 恢复 本 地 系统 。 当 Windows Server 2003 恢复 正常 后 , 用 户 可 以 使 用 备份 工具 的 还 原 
向 导 ， 根 据 需要 还 原 已 备份 的 程序 和 其 他 分 区 的 数据 文件 。 

使 用 “备份 ” 向 导 对 系统 数据 进行 备份 的 时 机 ,最 好 是 在 每 次 对 系统 做 出 重大 改动 之 后 。 
要 使 用 该 向 导 必 须 作 为 系统 管理 员 登 录 ， 以 备份 操作 者 的 身份 不 允许 执行 此 操作 。 另 外 ， 使 
用 “备份 ” 向导 仅 能 备份 Windows Server 2003 所 在 分 区 上 的 信息 ， 如 果 其 他 分 区 有 需要 备份 
的 数据 ,用 户 必 须 另 外 作 单 独 备 份 . 对 于 企业 应 用 软件 和 服务 , 如 SQL Server、 Exchange Server 
或 者 ntemet Information Server 等 “备份” 向 导 不 需要 备份 所 有 文件 。 除了 对 系统 数据 进行 
备份 以 外 ， 还 需要 制作 启动 系统 的 引导 软盘 。 要 制作 启动 损坏 系统 的 引导 软盘 ， 可 以 使 用 
Windows Server 2003 的 安装 光盘 。 即 使 是 用 软盘 启动 系统 ， 也 需要 Windows Server 2003 安 
装 光盘 来 启动 “自动 系统 恢复 ”功能 。 自 动 系 统 恢复 成 功 ， 将 使 系统 返回 到 “自动 系统 恢复 
准备 向 导 ” 最 后 一 次 运行 时 的 配置 状态 ， 其 后 的 配置 变化 信息 将 丢失 。 


要 使 用 


“自动 系统 恢复 ”功能 恢复 系统 ， 可 以 参照 以 下 步骤 进行 操作 。 


(1) 准备 一 张 空白 的 、 格 式 化 的 1.44MB 软盘 和 备份 存储 设备 。 存 储 设备 可 以 是 磁带 机 ， 
或 者 是 一 些 可 换 介质 的 存储 设备 ， 如 Zip 驱动 器 或 Jaz 驱动 器 ， 只 要 在 Windows Server 2003 
的 “兼容 硬件 列表 ”中 有 就 可 以 。 

(2) 在 Windows Server 2003 中 ， 选 择 “ 开 始 ”| “程序 ” |“ 附件 ”| “系统 工具 ” |“ 备份 ” 
命令 ， 系 统 将 打开 “备份 ”窗口 。 在 “欢迎 ”界面 中 ， 单 击 “自动 系统 恢复 向 导 ” 按 钮 ， 打 
开 “ 自 动 系统 故障 恢复 准备 向 导 ” 对 话 框 ， 如 图 9-29 所 示 。 


(3) 单 直 


#8“ 下 一 步 ” 按 钮 ， 打 开 “ 备 份 目的 地 ”对 话 框 ， 用 户 可 以 选择 接收 备份 数据 的 


媒体 名 或 者 文件 名 ， 如 图 9-30 所 示 。 
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图 9-29 


自动 系 坊 故 隧 狄 复 准备 闯 导 可 
欢迎 使 用 自动 系统 故障 恢复 准备 向 导 


备份 目的 地 
要 在 哪儿 保 让 系统 备份 7 


可 入 搜 相公 数 和 的 如 人 

各 的 次 件 闫 到 ID) 
二 Es 习 

要 三 续 ， 请 间 击 “下 一 步 ”。 一 一 一 一 一 四 


eta、 这 个 磁盘 格 包 合 们 


7 。 吊 


“自动 系统 故障 恢复 准备 向 导 ” 对 话 框 图 9-30 “备份 目的 地 ”对 话 框 


ER 过 于 存 信号 各 价 S 


(4) 继续 单 击 “ 下 一 步 ”按钮 ， 打 开 “ 正 在 完成 自动 系统 故障 恢复 准备 向 导 ” 对 话 框 ， 
如 图 9-31 所 示 ， 单 击 “ 完 成 ”按钮 ， 向 导 将 为 系统 创建 备份 ， 然 后 用 户 在 系统 提示 下 插 
入 软盘 即 可 。 


正在 完成 自动 系统 故障 恢复 准备 向 导 


已 成 功 完成 自动 系统 夏 障 饮 复 难 和 向导- 
和 化 格 
tt +， 烙 可 使 用 这 个 磁盘 和 备份 去 还 原 


要 关闭 此 向 导 并 开始 备份 ， 请 单 击 “ 充 成 ”" 


sw | 


图 9-31 完成 准备 向 导 的 对 话 框 


(5) 然后 系统 即 可 完成 “自动 系统 故障 恢复 ”的 设置 。 

要 使 用 “自动 系统 故障 恢复 向 导 ” 来 修复 系统 ， 可 按 如 下 步 又 操作 。 

(1) 当 安 装 程序 的 字符 界面 出 现 后 会 显示 提示 ， 按 R 键 选择 “修复 或 者 恢复 ”选项 。 按 
照 屏幕 上 的 提示 进行 操作 即 可 ， 在 正确 的 驱动 器 中 插入 Windows Server 2003 安装 光盘 。 

(2) 按照 屏幕 上 的 提示 进行 操作 ， 按 D 键 选择 “自动 系统 恢复 ”功能 。 

(3) 按照 屏幕 上 的 提示 进行 操作 。 在 修复 过 程 中 ， 如 果 需 要 硬盘 将 被 分 区 和 格式 化 ， 系 
统 将 返回 到 用 户 运行 “自动 系统 恢复 准备 ”向 导 时 所 处 的 状态 。 

(4) 如 果 修 复 成 功 ， 则 结束 该 过 程 ， 并 重新 启动 计算 机 。 当 计算 机 重新 启动 时 ， 蔡 换文 
件 将 被 成 功 地 复制 到 硬盘 上 。 
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DFS 服 务 絮 的 配置 和 管理 


分 布 式 文件 系统 (Distributed File System, 简称 DFS) 是 Windows 
Server 2003 为 用 户 更 好 地 共享 网 络 资源 而 提供 的 一 个 功能 强大 的 工 
具 ， 它 可 以 将 那些 跨 网 络 分 布 的 不 同 共享 文件 夹 用 链接 的 形式 集中 显 
示 在 同一 个 窗口 中 。 通 过 分 布 式 文件 系统 ， 系 统管 理 员 可 以 使 用 户 更 
加 方便 地 访问 和 管理 物理 上 跨 网 络 分 布 的 文件 ， 而 用 户 在 访问 文件 时 
无 须知 道 文件 的 实际 物理 位 置 。 此 外 ，Windows Server 2003 提供 了 
强大 的 文件 资源 管理 功能 以 及 先进 的 NTFS 文件 系统 所 提供 的 权限 管 
理 ， 用 户 可 以 很 方便 地 在 计算 机 或 者 网 络 上 使 用 、 管 理 、 共 享 和 保护 
文件 及 文件 夹 资源 。 


{3° 本 章 知识 上 oo 
让 “DFS 和 NTFS 权限 的 概念 
氏 ” 创 建 DFS 根 目录 
谍 ” 新 建 DFS 链接 和 DFS 根 目录 目标 
氏 ”管理 NTFS 权限 
外 ”创建 和 管理 共享 文件 夹 


A 


S| 


yy es 


103 
10.1 DFS 简介 


分 布 式 文件 式 系统 (DFS) 是 一 个 单 层 文件 系统 ， 它 提供 了 文件 系统 资源 的 逻辑 树 结构 ， 
该 资源 可 能 处 于 网 络 的 任何 地 方 。 通 过 分 布 式 文件 系统 ， 系 统管 理 员 可 以 使 分 布 在 多 个 服务 
器 上 的 文件 在 用 户 面前 显示 时 ， 就 如 同位 于 网 络 上 的 同一 个 位 置 。 用 户 在 访问 文件 时 不 再 需 
要 知道 和 指定 它们 的 实际 物理 位 置 。 

系统 管理 员 可 以 利用 分 布 式 文件 系统 使 用 户 访问 和 管理 那些 物理 上 跨 网 络 分 布 的 文件 
变 得 更 加 容易 。 例 如 , 如 果 用 户 的 销售 资料 分 散在 某 个 域 中 的 多 个 服务 器 上 , 则 可 以 利用 DFS 
使 其 显示 时 就 好 像 所 有 的 资料 都 位 于 一 台 服务 器 上 ， 这 样 用 户 就 不 必 到 网 络 上 的 多 个 位 置 去 
查找 他 们 所 需 的 信息 了 。 

下 面 介绍 一 下 关于 DFS 的 几 个 基本 概念 。 

1. DFS 类 型 


通过 DFS 控制 台 , 用 户 可 以 按 下 面 两 种 方式 中 的 任何 一 种 来 实施 分 布 式 文件 系统 : 作为 
独立 的 分 布 式 文件 系统 ， 作 为 基于 域 的 分 布 式 文件 系统 。 
2. DFS 体系 结构 


除了 Windows XP 中 基于 服务 器 的 DFS 组 件 外 ， 还 有 基于 客户 的 DFS 组 件 。DFS 客户 
程序 可 以 将 对 DFS 根 目录 或 DFS 链接 的 引用 缓存 一 段 时 间 ， 该 时 间 由 管理 员 来 指定 。 运行 
DFS 客户 程序 的 计算 机 必须 是 DFS 根 目录 域 的 成 员 。 

3. 分 布 式 文件 系统 特性 


分 布 式 文件 系统 提供 了 以 下 重要 特性 。 

e 容易 访问 文件 

分 布 式 文件 系统 使 用 户 可 以 更 容易 地 访问 文件 。 即 使 文件 在 物理 上 跨越 多 个 服务 器 ， 用 
户 也 只 需要 转 到 网 络 中 的 某 个 位 置 即 可 访问 文件 。 

而 且 ， 当 更 改 共享 文 件 夹 的 物理 位 置 时 ， 不 会 影响 用 户 访问 文件 来。 因为 文件 的 位 置 看 
起 来 仍然 相同 ， 所 以 可 以 仍然 以 与 以 前 相同 的 方式 访问 文件 夹 。 用 户 不 再 需要 多 个 驱动 器 映 
射 来 访问 文件 。 

最 后 ， 计 划 文 件 服务 器 维护 、 软 件 升 级 和 其 他 任务 (一 般 需 要 服务 器 脱 机 ) 可 以 在 不 中 断 
用 户 访问 的 情况 下 完成 。 这 对 Web 服务 器 特别 有 用 。 通 过 选择 Web 站 点 的 根 目录 作为 DFS 
根 目 录 ， 可 以 在 分 布 式 文件 系统 中 移动 资源 ， 而 不 中 断 任何 HTML 链接 。 

e 可 用 性 

基于 域 的 DFS 以 两 种 方法 确保 用 户 保持 对 文件 的 访问 。 首 先 ，Windows XP 自动 将 DFS 


拓扑 发 布 到 Active Directory， 这 可 以 确保 DFS 拓扑 对 域 中 所 有 服务 器 上 的 用 户 总 是 可 见 的 。 
其 次 ， 作 为 管理 员 ， 用 户 可 以 复制 DFS 根 目 录 和 DFS 共享 文件 夹 。 复 制 意味 着 可 以 在 域 中 
的 多 个 服务 器 上 复制 DFS 根 目 录 和 DFS 共享 文件 夹 。 这 样 ， 即 使 这 些 文件 驻 留 的 一 个 物理 
服务 器 不 可 用 ， 用 户 也 仍然 可 以 访问 文件 。 

e 服务 器 负载 平衡 

DFS 根 目录 可 以 支持 物理 上 通过 网 络 分 布 的 多 个 DFS 共享 文件 夹 .这 一 点 很 有 用 ,例如 ， 
当 目录 中 有 一 个 被 用 户 大 量 访问 的 文件 时 ， 并 非 所 有 的 用 户 都 在 单个 服务 器 上 物理 地 访问 此 
文件 , 因为 这 将 会 增加 服务 器 的 负担 , 而 DFS 确保 访问 文件 的 用 户 分 布 于 多 个 服务 器 。 然而， 
在 用 户 看 来 ， 文 件 就 好 像 一 直 驻 留 在 网 络 上 的 相同 位 置 。 


4. 分 布 式 文件 系统 拓扑 


分 布 式 文件 系统 拓扑 由 DFS 根 目录 、 一 个 或 多 个 DFS 链接 、 一 个 或 多 个 DFS 共享 文件 
夹 ， 或 每 个 DFS 所 指 的 副本 组 成 。DFS 根 目录 所 驻 留 的 域 服务 器 被 称 为 “宿主 服务 器 ”。 通 
过 在 域 中 的 其 他 服务 器 上 创建 “ 根 目录 共享 ”， 可 以 复制 DFS 根 目录 。 这 将 确保 在 宿主 服务 
器 不 可 用 时 ， 文 件 仍 可 使 用 。 

对 于 用 户 , DFS 拓扑 对 所 需 网 络 资源 提供 统一 和 透明 的 访问 。 对 于 系统 管理 员 , DFS 拓 
扑 是 单个 DNS 名 称 空间 : 使 用 基于 域 的 DFS， 将 DFS 根 目录 共享 的 DNS 名 称 解 析 到 DFS 
根 目录 的 宿主 服务 器 。 因 为 基于 域 的 分 布 式 文件 系统 的 宿主 服务 器 是 域 中 的 成 员 服 务 器 ， 在 默 
认 情 况 下 , DFS 会 将 DFS 拓扑 自动 发 布 到 Active Directory 中 , 因而 提供 了 跨越 主 服务 器 的 DFS 
拓扑 同步 。 这 反 过 来 又 对 DFS 根 目录 提供 了 容错 性 ， 并 支持 DFS 共享 文件 夹 的 可 选 复制 。 

通过 将 DFS 链接 添加 到 DFS 根 目 录 可 以 扩展 DFS 拓扑 ,对 DFS 拓扑 中 分 层 结构 的 层 数 
的 唯一 限制 是 对 任何 文件 路 径 最 多 使 用 260 个 字符 。 新 DFS 链接 可 以 引用 共享 文件 夹 或 子 文 
件 夹 或 整个 Windows 卷 。 如 果 用 户 有 是 够 的 权限 ， 也 可 以 访问 任何 本 地 子 文件 夹 ,该 子 文件 
夹 存在 于 或 被 添加 到 DFS 共享 文件 夹 中 。 


5. 分 布 式 文件 系统 和 安全 性 


除了 创建 必要 的 管理 员 权 限 之 外 ， 分 布 式 文件 系统 服务 不 实施 任何 超出 Windows XP 系 
统 所 提供 的 其 他 安全 措施 。 指 派 到 DFS 根 目 录 或 DFS 链接 的 权限 决定 了 可 以 添加 新 DFS 链 
接 的 用 户 。 

共享 文件 的 权限 与 DFS 拓扑 无 关 。 例 如 ， 假 定 有 一 个 名 为 MarketingDocs 的 DFS 链接 ， 
并 且 有 适当 的 权限 可 以 访问 MarketingDocs 所 指 的 特殊 DFS 共享 文件 夹 。 在 这 种 情况 下 ， 用 
户 就 可 以 访问 该 DFS 文件 夹 组 中 的 其 他 所 有 DFS 共享 文件 夹 ， 而 不 管 是 否 有 访问 其 他 共享 
文件 夹 的 权限 。 然 而 ， 有 权 访 问 这 些 共享 文件 夹 的 权限 将 决定 用 户 是 否 可 以 访问 文件 夹 中 的 
任何 信息 。 此 访问 由 标准 Windows 安全 控制 台 决定 。 

总 之 ， 当 用 户 尝试 访问 DFS 共享 文件 夹 和 它 的 内 容 时 ，FAT 和 NTFS 格式 的 文件 系统 


Ry Windows N 
Secnverm2003ET720 


将 强制 具有 安全 性 。 因 此 ，FAT 卷 提供 文件 上 的 共享 级 安全 ， 而 NTFS 卷 则 提供 了 完整 的 
Windows Server 安全 性 。 


10.2 创建 DFS 根 目录 


要 在 Windows Server 2003 中 使 用 DFS 系统， 首先 需要 创建 DFS 根 目录 。 基 于 DFS 类 
型 的 不 同 ，DFS 根 目 录 也 相应 地 分 为 两 类 : 基于 域 的 DFS 根 目录 和 独立 的 DFS 根 目录 。 创 
建 不 同类 型 的 根 目录 ， 其 操作 步 又 也 不 尽 相同 。 


10.2.1 ”创建 基于 域 的 DFS 根 目录 


创建 基于 域 的 DFS 根 目录 有 一 个 前 提 条 件 ， 即 宿主 必须 在 域 成 员 服务 器 上 。 另 外 ， 相 应 的 
DFS 拓扑 要 可 以 自动 发 布 到 活动 目录 中 ， 它 可 以 有 根 目录 级 的 DFS 共享 文件 夹 。 与 独立 的 DFS 
根 目录 不 同 的 是 , 此 种 方式 的 层次 结构 不 受 限 制 , 即 基于 域 的 DFS 根 目 录 可 以 有 多 级 DFS 链接 。 

下 面 是 创建 基于 域 的 DFS 根 目录 的 具体 操作 步骤 。 

(1) 通过 “开始 ”菜单 ， 选 择 “ 管 理工 具 ” 子 菜单 中 的 “分 布 式 文件 系统 ”命令 ， 打 开 
空白 的 DFS 控制 台 窗 口 ， 如 图 10-1 所 示 。 

(2) 要 创建 新 的 DFS 目录 ， 可 以 选择 “操作 ”| “新 建 根 目录 ”命令 ， 打 开 “ 新 建 根 目录 
向 导 ” 对 话 框 ， 如 图 10-2 所 示 。 
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要 继续 ,请 单 击 “ 下 一 步 ”。 


| 
图 10-1 ”空白 的 DFS 控制 台 窗口 图 10-2 “新 建 根 目录 向 导 ” 对 话 框 


(3) 在 向 导 首 页 单 击 “ 下 一 步 ” 按 钮 将 打开 “ 根 目录 类 型 ”对 话 框 ， 提 示 用 户 选 择 将 要 
创建 的 DFS 根 目 录 类 型 。 因 为 要 创建 基于 域 的 DFS 根 目录 ， 所 以 在 该 对 话 框 中 选择 “ 域 根 
目录 ” 单 选 按钮 ， 启 用 活动 目录 (AD) 存 储 DFS 树 状 拓扑 结构 ， 同 时 也 可 以 使 DFS 文件 系统 
支持 DNS 命名 和 文件 副本 复制 的 新 特性 ， 如 图 10-3 所 示 。 
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10-3 “ 根 目录 类 型 ”对 话 框 


(4) 在 选择 “ 域 根 目录 ”类 型 后 ， 单 击 “ 下 一 步 ”按钮 将 打开 “主持 域 ”对 话 框 ， 在 此 
需要 输入 某 个 域名 来 与 新 的 DFS 根 目 录 相 关联 , 或 者 从 “信任 域 ”列表 框 中 选择 一 个 域 来 主 
持 DFS 根 目录 , 默认 情况 下 向 导 会 将 计算 机 所 在 的 域 作为 主持 域 , 并 将 该 域 的 域名 和 域 的 图 
标 分 别 显示 在 “域名 ”文本 框 和 “信任 域 ”列表 框 中 。 一 般 情况 下 用 户 可 以 使 用 系统 默认 域 
选项 ， 如 图 10-4 所 示 。 

(5) 在 选取 域 后 ， 单 击 “ 下 一 步 ” 按 钮 将 打开 “ 主 服务 器 ”对 话 框 ， 用 户 必须 选择 服务 
器 以 主持 这 个 DFS 根 目录 ,系统 默 认 的 选择 是 当前 服务 器 , 用 户 也 可 以 输入 需要 的 服务 器 的 
DNS 名 称 ， 或 者 通过 单 击 “ 浏 览 ”按钮 选择 域内 的 任何 服务 器 ， 如 图 10-5 所 示 。 


se JPS 根 目录 


图 10-4 “主持 域 ”对 话 框 图 10-5 “ 主 服务 器 ”对 话 框 


(6) 指定 服务 器 之 后 ， 单 击 “ 下 一 步 ”按钮 将 打开 “ 根 目 录 名 称 ” 对 话 框 。 在 该 对 话 框 
中 必须 为 新 建 的 DFS 根 目录 提供 一 个 唯一 的 名 称 ， 同 时 加 上 注释 ， 如 图 10-6 所 示 。 

(7) 指定 好 根 目 录 名 称 后 ， 单 击 “ 下 一 步 ”按钮 ， 将 打开 “ 根 目 录 共享 ”对 话 框 。 在 “ 共 
享 的 文件 夹 ”文本 框 中 输入 共享 路 径 , 或 者 单 击 “ 浏 览 ”按钮 ， 选 择 一 个 共享 的 文件 夹 路 径 ， 
如 图 10-7 所 示 。 
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图 10.6 “ 根 目录 名 称 ”对 话 框 图 10-7 “ 根 目录 共享 ”对 话 框 


(8) 在 确定 好 共享 路 径 之 后 , 单 击 “ 下 一 步 ” 按钮 , 将 会 打开 “正在 完成 “新建 根 目录 向 导 ”” 
对 话 框 。 在 该 对 话 框 中 ， 向 导 将 用 户 新 建 的 DFS 根 目录 的 所 有 信息 都 显示 在 对 应 的 文本 框 中 ， 
验证 配置 正确 后 ， 单 击 “ 完 成 ”按钮 即 可 完成 安装 DFS 域 根 目录 的 操作 ， 如 图 10-8 所 示 。 

(9) 最 后 ， 在 提示 安装 根 目录 成 功 的 对 话 框 中 单 击 “ 确 定 ” 按 钮 ， 即 可 返回 到 “分 布 式 
文件 系统 ”控制 台 窗 口 。 此 时 ， 在 控制 台 窗 口中 用 户 可 以 看 到 新 建 的 DFS 根 目录 已 经 显示 在 
“分 布 式 文件 系统 ”列表 框 中 了 ， 如 图 10-9 所 示 。 
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图 10-8 “正在 完成 “新 建 根 目录 向 导 ’” 对 话 框 ”图 10-9 创建 DFS 根 目 录 后 的 DFS 控制 台 窗口 


10.2.2 ”创建 独立 的 DFS 根 目录 
独立 的 DFS 根 目录 不 使 用 活动 目录 (Active Directory)， 而 且 没 有 根 目 录 级 的 DFS 共享 文 


件 夹 。 同 时 这 种 根 目录 类 型 的 层次 结构 有 限 ， 标 准 的 DFS 根 目录 只 能 有 一 级 DFS 链接 。 
创建 独立 的 DFS 根 目录 的 具体 操作 步骤 如 下 。 
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(1) 在 DFS 控制 台 窗 口中 选择 “操作 ”|“ 新 建 根 目 录 ” 命 令 , 启动 “新 建 根 目录 向 导 ”， 
单 击 “ 下 一 步 ” 按 钮 将 打开 “选择 根 目 录 类 型 ”对 话 框 ， 从 中 选择 “独立 的 根 目录 ” 单 选 按 
钮 即 可 创建 独立 的 DFS 根 目录 ， 如 图 10-10 所 示 。 


10-10 ”选择 “独立 的 根 目录 ”类 型 


(2) 独立 的 DFS 根 目录 只 与 驻 留 在 DFS 根 目录 的 特定 服务 器 相关 联 。 单 击 “ 下 一 步 ” 按 
钮 ， 将 会 打开 “ 主 服务 器 ”对 话 框 ， 在 此 为 创建 的 根 目录 指定 一 个 主 服务 器 ， 如 图 10-11 
所 示 。 

(3) 在 指定 服务 器 之 后 ， 单 击 “ 下 一 步 ”按钮 ， 将 打开 “ 根 目 录 名 称 ” 对 话 框 ， 必 须 为 
新 建 的 DFS 根 目录 提供 一 个 唯一 的 名 称 ， 同 时 加 上 注释 ， 如 图 10-12 所 示 。 
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图 10-11 指定 一 个 服务 器 图 10-12 “ 根 目录 名 称 ” 对 话 框 


(4) 在 指定 根 目 录 名 称 之 后 ， 单 击 “ 下 一 步 ”按钮 ， 将 打开 “ 根 目录 共享 ”对 话 框 ， 要 
求 用户 在 用 来 作为 服务 器 的 DFS 根 目 录 上 选取 共享 , 可 以 选取 现 有 的 共享 或 者 指定 新 的 共享 
路 径 和 共享 名 让 DFS 创建 新 共享 ， 如 图 10-13 所 示 。 

(5) 在 确定 好 根 目 录 名 称 之 后 , 单 击 “ 下 一 步 ”按钮 将 打开 “正在 完成 “新建 根 目录 向 导 ”” 
对 话 框 。 在 该 对 话 框 中 ， 向 导 将 用 户 新 建 的 DFS 根 目录 的 所 有 信息 都 显示 在 对 应 的 文本 框 中 ， 
验证 配置 正确 后 ， 单 击 “ 完 成 ”按钮 即 可 完成 安装 DFS 根 目录 的 操作 ， 如 图 10-14 所 示 。 


A 


文件 加。 接 作 WW) 查看 WD 帮助 0 
ET 有 


于 
是 Ainfs_ bapt_ sdavwindows 2003 root | \\FIGER\ner root 


录 共享 
冰 生 的 共 不 在 在 。 在 山下 位 轩 自 建 一 个 新 共 训 ,| 


共享 的 文件 天 中: 
Pe 区 


$F Sm) Ww | | Hamm 0 不 BR 不 
图 10-13 “ 根 目录 共享 ”对 话 框 10-14 创建 DFS 独立 根 目录 后 的 DFS 控制 台 窗 口 


10.3 ”管理 DFS 根 目录 


通过 上 述 操作 完成 了 创建 DFS 根 目录 的 工作 , 接 下 来 系统 管理 员 即 可 使 用 “操作 ”菜单 
中 的 “新 建 链接 ”和 “新 建 根 目录 目标 ”命令 在 DFS 根 目录 结构 树 中 添加 新 的 共享 资源 了 ， 
而 且 这 些 资源 可 以 位 于 网 络 中 的 任何 地 点 。 这 样 网 络 用 户 就 可 以 通过 一 个 DFS 根 目录 访问 多 
个 共享 资源 ， 并 且 无 须知 道 共 享 资源 的 网 络 路 径 。 


10.3.1 新建 DFS 链接 


系统 管理 员 可 以 在 DFS 拓扑 的 根 目 录 处 新 建 DFS 链接 。 如 果 DFS 链接 的 目标 文件 夹 不 
是 Windows 文件 夹 ， 则 该 目标 文件 夹 不 能 有 子 文件 夹 。 目 前 可 以 分 配给 DFS 根 目录 的 DFS 
链接 的 最 大 数目 是 1000， 所 添加 的 每 个 共享 文件 夹 都 被 分 配 了 一 个 相关 的 客户 缓存 时 间 。 该 
缓存 时 间 决 定 了 共享 文件 夹 信息 在 客户 端 缓存 的 时 间 。 当 缓存 时 间 到 期 时 DFS 客户 必须 访问 
DFS 宿主 服务 器 以 更 新 引用 的 信息 。 用 户 还 可 以 调整 缓存 时 间 ， 使 得 与 共享 文件 夹 有 关 的 客 
户 使 用 和 网 络 通信 因素 达到 最 佳 平 衡 。 

下 面 是 新 建 DFS 链接 的 具体 操作 步骤 。 

(1) 打开 “分 布 式 文件 系统 ”控制 台 窗口 ， 选 定 新 建 的 根 目 录 ， 选 择 “操作 ”|“ 新 建 链 
接 ” 命 令 ， 打 开 “ 新 建 链接 ”对 话 框 ， 如 图 10-15 所 示 。 
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10-15 “新 建 链接 ”对 话 框 


(2) 在 “链接 名 称 ” 文 本 框 中 输入 要 设置 的 链接 名 称 ， 在 “目标 路 径 (共享 文件 夹 )” 文 本 
框 中 输入 共享 目录 或 者 单 击 “ 浏 览 ”按钮 选择 要 链接 的 共享 目录 ， 用 户 也 可 以 在 “注释 ” 文 
本 框 中 输入 该 链接 的 说 明 性 文字 。 在 “以 秒 计算 的 客户 端 缓存 这 个 引用 所 需 的 时 间 ” 文 本 框 
中 用 户 可 以 设置 客户 机 缓存 此 引用 的 时 间 。 

(3) 最 后 ， 单 击 “确定 ”按钮 完成 添加 工作 。 


10.3.2 新建 DFS 根 目录 目标 


新 建 根 目录 目标 就 是 将 DFS 根 目录 复制 到 域 中 的 另 一 台 服务 器 上 , 这 样 可 以 确保 在 由 于 
某 种 原因 宿主 服务 器 不 可 用 时 , 域 中 的 用 户 仍然 能 够 使 用 与 该 DFS 根 目 录 关 联 的 分 布 式 文件 
系统 。 

下 面 是 新 建 根 目录 目标 的 具体 操作 步骤 。 

(1) 打开 “分 布 式 文件 系统 ”控制 台 窗 口 ， 右 击 新 建 的 DFS 根 目 录 ， 从 弹出 的 快捷 菜单 
中 选择 “新 建 根 目录 目标 ”命令 , 打开 “新 建 根 目录 向 导 ” 的 “ 主 服务 器 ”对 话 框 , 如 图 10-16 
所 示 。 
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(2) 在 对 话 框 中 输入 根 目录 目标 的 宿主 服务 器 的 名 称 ， 或 者 单 击 “ 浏 览 ”按钮 选择 可 用 
的 服务 器 。 


(3) 单 击 “ 下 一 步 ” 按 钮 ， 然 后 在 打开 的 对 话 框 中 选择 现 有 共享 文件 夹 或 指定 要 创建 的 
新 共享 文件 夹 的 路 径 和 名 称 ， 然 后 单 击 “ 下 一 步 ” 按 钮 。 


(4) 在 打开 的 对 话 框 中 接受 根 目录 共享 的 默认 名 称 或 指定 新 名 称 ， 然 后 单 击 “ 下 一 步 ” 
按钮 。 


(5) 单 击 “ 完 成 ”按钮 ， 即 可 开始 创建 新 的 根 目录 目标 。 
10.3.3 新建 DFS 目标 


用 户 也 可 以 为 根 目录 下 的 链接 新 建 目标 ， 其 具体 步骤 如 下 。 


(1) 打开 “分 布 式 文件 系统 ”控制 台 窗 口 , 右 击 DFS 链接 ,从 弹出 的 快捷 菜单 中 选择 “新 
建 目标 ”命令 ,打开 “新 建 目标 ”对 话 框 ， 如 图 10-17 所 示 。 
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10-17 “新 建 目录 ”对 话 杠 


(2) 在 该 对 话 框 的 “目标 路 径 ” 文 本 框 中 输入 一 个 与 这 个 链接 相关 的 目标 ， 当 打开 这 个 
链接 时 就 能 被 重 定向 到 选择 为 目标 的 共享 文件 夹 ， 同 时 选中 “将 这 个 目标 添加 到 复制 集中 ” 
复 选 框 。 

(3) 单 击 “ 完 成 ”按钮 完成 新 目标 的 创建 。 


10.3.4 查看 根 目 录 和 链接 内 容 


在 用 户 创建 了 DFS 根 目录 和 DFS 根 目录 副本 或 新 建 DFS 链接 后 , 可 以 通过 DFS 控制 台 
方便 地 查看 DFS 根 目录 中 的 内 容 。 


下 面 是 查看 创建 的 DFS 根 目录 的 具体 操作 步骤 。 


(1) 打开 “分 布 式 文件 系统 ”控制 台 窗 口 ， 选 择 “ 操 作 ”|“ 显 示 根 目录 ”命令 ,打开 “ 显 
示 根 目录 ”对 话 框 ， 如 图 10-18 所 示 。 


图 10-18 “显示 根 目录 ”对 话 杠 


(2) 在 “ 根 目录 或 主 服务 器 ”文本 框 中 ， 输 入 现存 的 DFS 根 目录 的 UNC 名 称 ， 或 者 展 
开 “ 信 任 域 ”列表 框 从 中 选择 DFS 根 目录 。 
(3) 选择 要 显示 的 DFS 根 目录 之 后 ， 单 击 “ 确 定 ”按钮 即 可 。 


10.3.5 ”删除 DFS 根 目录 和 链接 


在 维护 DFS 根 目 录 时 会 存在 一 些 无 效 的 目录 ， 这 就 需要 系统 管理 员 定 期 对 DFS 根 目录 
进行 附加 、 修 改 和 删除 等 操作 。 


1. 删除 DFS 链接 


要 删除 DFS 链接 , 可 以 在 DFS 控制 台 窗 口中 选取 要 删除 的 链接 , 然后 选择 “操作 ”|“ 删 
除 链接 ”命令 ， 在 打开 的 确认 信息 框 中 单 击 “ 是 ”按钮 即 可 ， 如 图 10-19 所 示 。 
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10-19 ”删除 链接 的 信息 提示 框 


删除 该 链接 后 所 有 的 副本 也 将 被 删除 ， 但 不 会 删除 链接 的 目标 上 的 任何 数据 。 
2. 删除 根 目录 


要 删除 DFS 根 目录 ， 可 以 在 DFS 控制 台 窗 口中 先 选取 要 删除 的 根 目录 ， 然 后 选择 “ 操 
作 ”|“ 删 除根 目录 ”命令 ， 在 打开 的 确认 信息 框 中 单 击 “ 是 ”按钮 即 可 ， 如 图 10-20 所 示 。 
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图 10-20 ”删除 根 目录 的 信息 提示 框 
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删除 DFS 根 目录 之 后 这 个 名 称 空间 就 会 从 网 络 中 删除 ， 所 有 的 链接 和 副本 也 会 被 删除 。 
但 是 ， 目 标 共享 和 共享 中 的 所 有 文件 不 会 被 删除 ， 只 是 网 络 中 的 客户 端 将 不 能 再 访问 该 DFS 
根 目录 了 。 


10.4 文件 系统 


Windows Server 2003 系统 的 磁盘 分 区 一 般 使 用 3 种 格式 的 文件 系统 : NTFS、FAT 和 
FAT32。 其 中 FAT 和 FAT32 格式 是 早期 的 DOS、Windows 3x 操作 系统 中 使 用 的 文件 系统 。 
由 于 当时 计算 机 各 种 软 、 硬 件 仍 处 于 发 展 阶段 ， 因 此 这 两 种 文件 系统 所 能 管理 的 磁盘 徐 的 大 
小 \ 文 件 的 最 大 尺寸 及 磁盘 空间 总 量 都 有 一 定 的 局 限 性 。 但 是 ,从 Windows NT 开始 , Microsoft 
公司 在 其 推出 的 操作 系统 中 采用 了 一 种 新 的 文件 系统 格式 一 一 NTFS 文件 系统 。NTEFS 文件 
系统 比 FAT 和 FAT32 格式 的 功能 更 加 强大 ， 该 文件 系统 不 仅 可 以 管理 超过 32G 的 磁盘 卷 和 
更 大 的 文件 尺寸 , 而 且 Windows Server 2003 新 增 的 Active Directory 目录 功能 也 必须 有 NTFS 
文件 系统 的 支持 才能 够 实现 。 由 于 FAT 和 FAT32 很 相似 ， 只 是 FAT32 更 适合 于 较 大 容量 的 
硬 租 。 因 此 ， 下 面 将 主要 针对 FAT 格式 和 NTFS 格式 这 两 种 文件 系统 进行 比较 ,使 用 户 能 够 
全 面 了 解 NTFS 的 优点 和 特性 。 


10.4.1 FAT 


FAT(File Allocation Table) 是 一 种 适合 小 卷 集 与 需要 双重 引导 的 用 户 应 该 选择 使 用 的 文 
件 系统 。 对 于 使 用 一 般 操作 系统 (如 DOS、Windows 3.x 等 ) 且 对 系统 安全 性 要 求 不 高 的 用 户 来 
说 , FAT 是 一 种 合适 的 文件 管理 系统 。 但 对 于 使 用 Windows XP 和 Windows Server 2003 的 用 
户 来 说 ，FAT 文件 系统 已 不 能 满足 用 户 的 各 项 要 求 。 

FAT 文件 系统 最 初 是 设计 用 于 小 型 磁盘 和 简单 文件 夹 结构 的 简单 文件 系统 。 它 的 主要 特 
点 是 适 于 向 后 兼容 。FAT 文件 系统 得 名 于 它 的 组 织 方法 : 放置 在 卷 起 始 位 置 的 文件 分 配 表 。 
为 了 保护 卷 ， 它 使 用 了 两 份 拷贝 ， 以 确保 即使 损坏 了 一 份 磁 盘 也 能 正常 工作 。 另 外 ， 为 了 确 
保 正确 装卸 启动 系统 所 必须 的 文件 ， 文 件 分 配 表 和 根 文件 夹 必须 放 在 固定 的 位 置 。 

从 Windows NT 开始 ,在 保持 了 MS-DOS 或 OS/2 兼容 性 的 同时 ,通过 使 用 属性 位 在 FAT 
卷 中 创建 或 者 更 名 的 文件 可 以 使 用 长 文件 名 。 在 创建 一 个 长 文件 名 文件 的 同时 ，Windows 
Server 2003 为 该 文件 创建 了 一 个 4.3 格式 的 名 字 。 除 了 这 个 常规 入 口外 , Windows Server 2003 
还 为 该 文件 创建 了 一 个 或 多 个 辅助 文件 夹 入 口 项 .每 个 入 口 项 用 于 容纳 长 文件 名 中 的 13 个 字 
符 ， 以 Unicode 编码 存储 长 文件 名 中 的 对 应 部 分 。Windows Server 2003 设置 了 辅助 文件 夹 入 
口 项 的 卷 、 只 读 、 系 统 和 隐藏 属性 来 标志 它 为 长 文件 名 的 一 部 分 ， 而 MS-DOS 和 OS/2 通常 


会 忽略 设置 了 所 有 这 4 种 属性 的 文件 夹 入 口 项 中 的 4.3 常规 文件 名 访问 该 文件 。 


10.4.2 NTFS 


NTFS(New Technology File System) 是 Windows Server 2003 推荐 使 用 的 高 性 能 的 文件 系 
统 , 它 支 持 许 多 新 的 文件 安全 、 存储 和 容错 功能 , 而 这 些 功 能 也 正 是 FAT 文件 系统 所 缺少 的 。 
Windows Server 2003 中 的 NTFS 文件 系统 提供 了 FAT 文件 系统 所 没有 的 全 面 的 性 能 、 
更 强 的 可 靠 性 和 兼容 性 。NTFS 的 设计 目标 就 是 在 很 大 的 硬盘 上 能 够 很 快 地 执行 诸如 读 、 写 
和 搜索 这 样 的 标准 文件 操作 ， 甚 至 包括 像 文 件 系统 恢复 这 样 的 高 级 操作 。 
NTEFS 文件 系统 除 满足 了 公司 环境 中 对 文件 服务 器 和 高 端 个 人 计算 机 的 安全 特性 需求 
外 ,还 支持 对 于 关键 数据 完整 性 十 分 重要 的 数据 访问 控制 和 私有 权限 。 除 了 可 以 赋予 Windows 
Server 2003 计算 机 中 的 共享 文件 夹 特定 权限 外 ，NTFS 文件 和 文件 夹 资源 无 论 共享 与 否 都 可 
以 赋予 权限 .NTFS 格式 是 Windows Server 2003 中 唯一 允许 为 单个 文件 指定 权限 的 文件 系统 。 
但 是 当 用 户 从 NTFS 卷 移动 或 复制 文件 到 FAT 卷 时 ，NTFS 文件 系统 权限 和 其 他 的 特有 属性 
都 将 丢失 。 
NTFS 文 件 系统 是 使 用 Windows Server 2003 系统 所 推荐 使 用 的 文件 系统 .NTFS 具有 FAT 
文件 系统 的 所 有 基本 功能 ， 并 且 提 供 如 下 的 FAT 或 FAT32 文件 系统 所 没有 的 优点 。 
e 更 为 安全 的 文件 访问 权限 。 
。 更 好 的 磁盘 压缩 性 能 。 
e 支持 最 大 达 2TB 的 大 容量 磁盘 。 
e 具有 双重 启动 配置 。 
除 此 之 外 ，NTFS 文件 系统 还 支持 以 下 特性 。 
e Active Directory: 使 网 络 管理 员 和 用 户 可 以 方便 灵活 地 查看 和 控制 网 络 资源 。 
。 域 , 它 是 Active Directory 的 一 部 分 ， 可 以 帮助 网 络 管理 员 兼 顾 管理 的 简单 性 和 网 络 
的 安全 性 。 例 如 ， 只 有 在 NTFS 文件 系统 中 用 户 才能 设置 单个 文件 的 许可 权限 而 不 
仅仅 是 目录 的 许可 权限 。 
e 文件 压缩 : NTFS 系统 的 压缩 机 制 可 以 让 用 户 直接 读 写 压缩 文件 , 而 不 需要 使 用 解压 
软件 将 这 些 文件 展开 。 
e 文件 加 密 : 能 够 大 大 提高 信息 的 安全 性 。 
。 稀 松 文件 ， 应 用 程序 生成 的 一 种 特殊 文件 ， 它 的 文件 尺寸 非常 大 ， 但 实际 上 只 需要 
少 部 分 的 磁盘 空间 ， 就 是 说 NTFS 只 需要 给 这 种 文件 实际 写 入 的 数据 分 配 磁盘 存储 
空间 即 可 。 
e 磁盘 活动 的 恢复 日 志 : 它 将 帮助 用 户 在 电源 失效 或 其 他 系统 故障 时 快速 恢复 信息 。 
e 磁盘 配额 ， 管 理 者 可 以 管理 和 控制 每 个 用 户 所 能 使 用 的 最 大 磁盘 空间 。 
e 对 于 大 容量 驱动 器 的 良好 扩展 性 : NTFS 中 最 大 驱动 器 的 尺寸 远 远 大 于 FAT 格式 ， 
而 且 NTFS 的 性 能 和 存储 效率 并 不 像 FAT 那样 随 着 驱动 器 尺寸 的 增 大 而 降低 。 
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Windows Server 2003 提供 的 系统 工具 可 以 很 轻松 地 把 磁盘 分 区 转化 为 新 版 本 的 NTFS 文 
件 系统 ， 即 使 以 前 的 分 区 使 用 的 是 FAT 或 FAT32。 安 装 程序 会 检测 现 有 的 文件 系统 格式 ， 如 
果 是 NTFS， 则 自动 进行 转换 ， 如 果 是 FAT 或 FAT32， 会 提示 安装 者 是 否 转换 为 NTFS。 无 论 
是 在 运行 安装 程序 过 程 中 还 是 在 运行 安装 程序 之 后 ， 这 种 转换 都 不 会 使 用 户 的 文件 受到 损害 。 


10.5 NTFS 权限 管理 DFS 资源 


Windows Server 2003 在 NTFS 格式 的 卷 上 提供 了 NTFS 权限 ， 允 许 为 每 个 用 户 或 者 组 指 
定 NTFS 权限 ， 以 保护 文件 和 文件 夹 资源 的 安全 。 通 过 允许 或 禁止 访问 某 些 文件 和 文件 夹 或 
是 限制 访问 的 类 型 ，NTFS 权限 提供 了 对 资源 的 保护 。 不 论 用 户 是 访问 本 地 计算 机 上 的 文件 、 
文件 夹 资源 ， 还 是 通过 网 络 来 访问 ，NTFS 权限 都 是 有 效 的 。 


10.5.1 NTFS 权限 简介 


使 用 NTFS 权限 可 以 指定 用 户 和 组 具有 访问 文件 和 文件 夹 资源 的 权限 ， 以 及 他 们 能 够 对 
文件 和 文件 夹 执 行 的 操作 。 

NTFS 文件 系统 为 卷 上 的 每 一 个 文件 和 文件 夹 都 建立 了 一 个 访问 控制 表 (ACL)。ACL 中 
列 出 了 所 有 拥有 该 文件 和 文件 夹 的 授权 用 户 和 组 ， 以 及 他 们 所 拥有 的 访问 权限 类 型 。 当 用 户 
想 要 访问 某 一 文件 资源 时 ，ACL 必须 包含 该 用 户 帐户 或 组 的 入 口 ， 通 常 这 个 访问 入 口 被 称 为 
访问 控制 入 口 (ACE)。 人 入 口 所 允许 的 访问 类 型 必须 和 所 请 求 的 访问 类 型 一 致 ， 这 样 才 允 许 用 
户 访问 该 文件 资源 。 如 果 在 ACL 中 没有 一 个 合适 的 ACE， 那 么 该 用 户 就 无 法 访问 该 项 文件 
资源 。 系 统管 理 员 可 以 为 文件 和 文件 夹 指定 不 同 的 权限 ， 而 分 配 的 访问 权限 类 型 是 根据 文件 
选项 不 同 而 不 同 的 。 


1. NTFS 文件 夹 权 限 


文件 夹 权限 是 用 来 控制 用 户 对 文件 夹 及 文件 夹 内 文件 和 子 文件 夹 的 访问 。 下 面 列 出 了 可 
以 指定 的 NTFS 文件 夹 权 限 以 及 每 个 权限 所 提供 的 访问 类 型 ， 权 限 列 出 的 先后 顺序 表示 各 个 
权限 从 最 严格 的 约束 到 最 少 约束 的 变化 趋势 。 
e 读 取 : 允许 用 户 查 看 文件 夹 内 的 文件 和 文件 夹 ， 查 看 文件 夹 的 属性 、 所 有 者 和 权限 。 
。 写 入 : 允许 用 户 在 文件 夹 中 创建 新 文件 和 子 文件 夹 、 改 变 文件 夹 的 属性 、 查 看 文件 
夹 的 所 有 者 及 其 权限 。 
。 列 出 文件 夹 内 容 ， 人 允许 用 户 查 看 文件 夹 内 的 文件 和 子 文件 夹 的 内 容 。 
。 读 取 和 执行 : 允许 用 户 遍 历 文件 夹 ， 并 通过 这 些 文件 夹 移动 到 其 他 的 文件 和 文件 夹 ， 
而 不 论 用 户 遍历 过 的 文件 夹 是 否 具有 权限 。 


e ”修改 : 允许 用 户 删 除 文件 来， 并 且 具 有 对 文件 夹 的 读 写 权 限 和 执行 权限 。 

e 完全 控制 :允许 用 户 更 改 文件 夹 权 限 、 获 得 文件 夹 的 所 有 权 、 删 除 子 文件 夹 和 文件 
等 NTFS 文件 夹 权 限 允 许 的 操作 。 如 果 禁 止 了 该 权限 ， 就 表示 拒绝 了 用 户 或 组 对 某 
个 文件 夹 进行 任何 形式 的 访问 。 


2. NTFS 文件 权限 


NTFS 文件 权限 能 够 应 用 于 包含 在 文件 夹 中 的 文件 ， 控 制 用 户 对 文件 资源 的 访问 。 下 面 
列 出 了 可 以 指定 的 NTFS 文件 权限 及 每 个 权限 所 提供 的 访问 类 型 ， 权 限 列 出 的 先后 顺序 表示 
各 个 权限 从 最 严格 的 约束 到 最 少 约束 的 变化 趋势 。 

。 读 取 : 允许 用 户 读 取 文件 、 查 看 文件 的 属性 、 所 有 者 和 权限 。 

。 写 入 : 允许 用 户 改写 文件 、 改 变 文件 的 属性 、 查 看 文件 的 所 有 者 及 其 权限 。 

。 读 取 和 执行 ,允许 用 户 执 行 读 取 提供 的 操作 。 如 果 文 件 是 应 用 程序 ， 还 可 以 执行 

文件 。 

e 修改 : 允许 用 户 执行 读 取 、 写 入 以 及 读 取 和 执行 的 操作 ， 还 可 以 修改 或 删除 文件 。 

。 完全 控制 :允许 用 户 执行 所 有 其 他 权限 提供 的 操作 ， 并 且 还 能 够 更 改 权限 和 取得 文 

件 的 所 有 权 。 


只 有 在 NTFS 卷 上 才 可 以 使 用 NTFS 权限 ， 在 FAT 或 FAT32 格式 的 卷 上 则 不 
能 使 用 NTFS 权限 。 


10.5.2 NTFS 权限 的 规则 


Windows Server 2003 允许 单独 地 为 用 户 指定 权限 , 同时 也 可 以 为 用 户 所 隶属 的 组 指定 权 
限 ， 从 而 为 一 个 用 户 帐户 指定 多 重 权 限 ， 或 者 利用 权限 的 继承 性 为 用 户 指定 权限 。 


1. 权限 是 累积 的 


用 户 对 特定 资源 的 有 效 访问 权限 是 包括 指定 给 用 户 的 所 有 访问 权限 的 总 和 。 如 果 多 个 条 
目 与 用 户 的 访问 权限 相 匹配 ， 如 特定 帐户 的 读 取 权 限 和 用 户 作为 组 成 员 的 组 写 入 权限 ， 则 有 
效 的 权限 是 读 取 和 写 入 权限 。 


2. 文件 权限 覆盖 文件 夹 权 限 


当 确 定 对 资源 的 访问 时 ，Windows Server 2003 将 用 文件 权限 覆盖 文件 夹 权 限 。 用户 可 能 


A 


SenvermzZ003rTr re 


没有 对 文件 夹 的 任何 访问 权限 ， 但 却 可 能 对 包含 在 文件 夹 中 的 文件 有 完全 控制 的 权限 ， 这 样 
用 户 虽然 看 不 见 在 文件 夹 列 表 中 的 文件 ， 但 是 可 以 使 用 通用 的 命名 规则 (UNC) 路 径 来 获得 对 
文件 的 访问 。 一 般 情况 下 ， 系 统管 理 员 可 以 创建 用 户 无 法 拥有 写 入 权限 的 文件 夹 ， 然 后 特别 
地 为 某 些 用 户 提供 具有 对 一 个 或 多 个 文件 的 写 入 权限 。 


3. 拒绝 覆盖 所 有 其 他 权限 


“拒绝 ”权限 完全 覆盖 用 户 可 能 拥有 的 任何 其 他 访问 权限 ， 这 个 权限 与 累积 的 规则 相抵 
触 ， 但 是 提供 了 强大 的 手段 来 保证 文件 夹 被 适当 的 保护 。 拥 有 适当 权限 的 系统 管理 员 或 用 户 
可 以 拒绝 用 户 或 组 访问 文件 或 文件 夹 。 这 就 确保 没有 用 户 是 其 中 的 成 员 组 可 以 取得 对 文件 或 
文件 夹 的 访问 权限 。 当 应 用 于 组 时 ，“ 拒 绝 ” 权 限 会 应 用 于 组 内 的 所 有 成 员 。 


4. 权限 继承 


按照 系统 的 默认 设置 ， 权 限 是 从 父 文件 夹 继 承 的 。 通 过 确保 在 文件 夹 中 创建 的 任何 新 文 
件 和 文件 夹 都 具有 与 其 父 文件 夹 相同 的 访问 控制 表 ， 就 使 其 更 加 容易 管理 共享 文件 夹 环 境 。 
用 户 也 就 不 必 担 心 在 新 文件 夹 或 文件 中 调整 权限 。 

当然 ， 用 户 也 可 以 停止 权限 继承 。 如 果 在 给 定 的 文件 夹 中 停止 权限 继承 ， 就 可 以 把 它 的 
权限 设置 为 与 其 父 文件 夹 不 同 ， 除 非 是 权限 被 用 户 重新 配置 ， 否 则 任何 新 文件 或 文件 夹 都 将 
继承 权限 。 


10.5.3 ”管理 NTFS 权限 


在 创建 NTFS 文件 系统 时 ， 需 要 在 关键 的 文件 夹 上 修改 权限 设置 和 继承 关系 。 下 面 是 修 
改 文件 或 文件 夹 的 NTFS 权限 的 具体 操作 步骤 。 

(1) 在 “我 的 电脑 ”窗口 中 右 击 要 修改 权限 的 文件 或 文件 夹 , 本 例 选择 的 是 “我 的 文档 ”， 
从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 相 应 的 “属性 ”对 话 框 ， 选 择 “ 安 全 ”选项 卡 ， 
如 图 10-21 所 示 。 

(2) 在 “组 或 用 户 名 称 ” 列 表 框 中 通过 选择 组 或 用 户 名 称 ， 可 以 查看 其 访问 权限 ， 系 统 
管理 员 可 以 在 需要 时 调整 这 些 权 限 。 

(3) 如 果 系 统管 理 员 要 为 该 文件 夹 添加 访问 的 用 户 ， 可 以 在 “安全 ”选项 卡 中 单 击 “ 添 
加 ”按钮 ， 打 开 “ 选 择 用 户 、 计 算 机 或 组 ”对 话 框 ， 从 中 选取 要 添加 的 用 户 或 组 并 且 可 以 同 
时 添加 多 个 组 ， 如 图 10-22 所 示 。 
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图 10-22 “选择 用 户 、 计 算 机 或 组 ”对 话 框 

(4) 系统 管理 员 可 以 选取 某 个 组 ， 为 其 设置 需要 的 权限 。 

(5) 如 果 系 统管 理 员 要 防止 用 户 从 父 文件 夹 继承 权限 , 则 可 以 右 击 选 定 的 文件 或 文件 夹 ， 
打开 其 属性 对 话 框 并 选择 “安全 ”选项 卡 ， 从 中 单 击 “ 高 级 设置 ”按钮 ， 打 开 “ 高 级 安全 设 
置 ” 对 话 框 ， 在 该 对 话 框 中 取消 对 “人 允许 父 项 的 继承 权限 传播 到 该 对 象 和 所 有 子 对 象 ， 包 括 
那些 在 此 明确 定义 的 项 目 ” 复 选 框 的 选中 ， 如 图 10-23 所 示 。 


(6) 这 时 ， 系 统 会 弹出 一 个 “安全 ”信息 提示 框 ， 提 示 用 户 选择 应 用 到 子 对 象 的 父 权限 
项 目 是 否 应 用 到 这 个 对 象 上 ， 如 图 10-24 所 示 。 


我 的 文 着 的 高 赢 安全 设置 
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(7) 选择 相应 的 设置 后 ， 单 击 “ 确 定 ” 按 钮 ， 关 闭 属性 对 话 框 即 可 。 
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10.5.4 ”管理 特殊 的 访问 权限 


Windows Server 2003 还 提供 了 特殊 的 访问 权限 ， 这 些 权限 提供 了 超出 普通 ACL 访问 权 
限 的 能 力 。 例 如 ，“ 取 得 所 有 权 ” 权 限 可 以 把 文件 或 文件 夹 的 所 有 权 从 一 个 用 户 传递 到 另 一 
个 用 户 ; “修改 ”权限 允许 用 户 给 予 其 他 用 户 修改 文件 权限 的 能 力 ， 而 不 必 给 予 他 们 完全 控 
制 的 权限 。 这 就 给 予 了 用 户 在 文件 上 定义 权限 的 灵活 性 , 而 不 用 完全 放 开 对 对 象 的 访问 权限 。 

特殊 的 访问 权限 允许 用 户 更 详细 地 定义 对 文件 夹 和 文件 的 访问 , 同时 授予 “取得 所 有 权 ” 
或 更 改 权 限 ， 下 面 就 介绍 一 下 如 何 管理 特殊 的 访问 权限 。 


1. 设置 特殊 的 访问 权限 


在 权限 设置 方面 ， 特 殊 访 问 权限 很 像 普 通 权限 ， 可 以 把 它们 看 成 是 高 级 的 安全 设置 ， 从 
而 来 方便 地 设置 特殊 的 访问 权限 。 

(1) 右 击 需要 更 改 权限 的 文件 或 文件 夹 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 在 打 
开 的 属性 对 话 框 中 选择 “安全 ”选项 卡 ， 单 击 “ 高 级 ”按钮 ， 打 开 “ 高 级 安全 设置 ”对 话 框 ， 
然后 选择 “权限 ”选项 卡 ， 如 图 10-23 所 示 。 

(2) 在 “权限 ”选项 卡 中 选择 要 更 改 其 权限 的 用 户 ， 然 后 单 击 “ 编 辑 ”按钮 ， 打 开 权 限 
项 目 对 话 框 ， 在 “权限 ”列表 框 中 即 可 调整 其 权限 ， 如 图 10-25 所 示 。 
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10-25 ”权限 项 目 


(3) 最 后 ， 单 击 “ 确 定 ” 按 钮 使 设置 生效 。 
2. 取得 文件 所 有 权 


一 旦 用 户 被 授予 特殊 访问 权限 ， 该 用 户 就 可 以 取得 相应 的 文件 所 有 权 。 
(1) 右 击 要 更 改 权限 的 文件 或 文件 夹 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,在 其 属 
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性 对 话 框 中 选择 “安全 ”选项 卡 ， 单 击 “高 级 ”按钮 ， 打 开 其 高 级 安全 设置 对 话 框 ， 然 后 选 
择 “ 所 有 者 ”选项 卡 ， 如 图 10-26 所 示 。 
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10-26 “所 有 者 ”选项 卡 


(2) 在 “所 有 者 ”选项 卡 中 可 以 单 击 “ 其 他 用 户 或 组 ”按钮 ， 添 加 该 项 目的 其 他 所 有 者 。 
同时 选中 “替换 子 容器 及 对 象 的 所 有 者 ” 复 选 框 。 
(3) 最 后 单 击 “ 确 定 ” 按 钮 使 设置 生效 。 


10.6 ”创建 与 管理 共享 资源 


共享 文件 或 文件 夹 是 网 络 操作 系统 的 主要 特点 之 一 ， 工 作 组 或 成 员 在 使 用 文件 之 前 ， 用 
户 必须 先 共享 包含 这 些 文件 的 文件 夹 ， 即 把 文件 的 父 文件 夹 设置 为 “共享 文件 夹 ” 之 后 ， 用 
户 才 可 以 访问 该 文件 夹 中 的 子 文件 夹 、 文 件 等 数据 。 共 享 文件 夹 在 Windows Server 2003 中 是 
用 手 握 住 的 文件 夹 图 标 表示 的 。 用 户 只 能 对 整个 共享 文件 夹 应 用 共享 文件 夹 权限 ， 而 不 能 对 
共享 文件 夹 中 的 文件 或 子 文件 夹 应 用 共享 文件 夹 权 限 。 因 此 ， 共 享 文件 夹 权限 所 提供 的 安全 
性 不 如 NTFS 权限 所 提供 的 详细 。 


10.6.1 创建 共享 文件 夹 


在 Windows Server 2003 网 络 中 ， 如 果 要 将 文件 夹 与 其 中 的 文件 提供 给 网 络 上 的 用 户 使 
用 ， 就 必须 将 该 文件 夹 设置 为 “共享 文件 夹 ”。 

下 面 以 NTFS 类 型 的 文件 夹 为 例 ， 介 绍 创建 共享 文件 夹 的 具体 步骤 。 

(1) 打开 “开始 ” 菜单， 选择“ 程序 ”| “管理 工具 ”| “计算机 管理 ”命令 ， 打 开 “ 计 算 
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机 管理 ”窗口 。 在 该 窗口 的 “计算 机 管理 ”目录 树 中 展开 “共享 文件 夹 ” 子 节点 ， 然 后 双击 
“共享 ” 子 节 点 ， 打 开 如 图 10-27 所 示 的 窗口 。 

(2) 在 右 侧 窗 格 中 显示 了 该 计算 机 中 所 有 的 共享 文件 夹 信息 。 要 建立 新 的 共享 文件 夹 ， 
可 以 选择 “操作 ”|“ 新 建 共享 ”命令 ， 系 统 将 打开 “共享 文件 夹 向 导 ” 对 话 框 ， 如 图 10-28 


所 示 。 
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图 10-27 “计算 机 管理 ”窗口 图 10-28 “共享 文件 夹 向 导 ” 对 话 杠 


(3) 单 击 “ 下 一 步 ” 按 钮 打开“ 文件 夹 路 径 ” 对 话 框 。 在 该 对 话 框 中 用 户 要 在 “文件 
夹 路 径 ” 文 本 框 中 输入 希望 共享 的 文件 夹 的 完整 路 径 ， 也 可 以 通过 单 击 “ 浏 览 ”按钮 从 本 地 
磁盘 中 选择 需要 共享 的 文件 夹 ， 如 图 10-29 所 示 。 

(4) 指定 共享 文件 夹 路 径 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 将 打开 “名 称 、 描 述 和 设置 ”对 话 
框 。 用 户 需 要 在 “共享 名 ”文本 框 中 输入 该 共享 资源 的 名 称 。 在 “描述 ”文本 框 中 ， 用 户 可 
以 输入 一 些 关 于 该 共享 资源 的 描述 性 信息 ， 以 方便 网 络 用 户 了 解 该 共享 资源 的 内 容 ， 如 图 
10-30 所 示 。 
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图 10-29 “文件 夹 路 径 ” 对 话 框 图 10-30 “名 称 、 描 述 和 设置 ”对 话 框 


在 该 对 话 杠 中， 用户 也 可 以 设置 对 该 共享 文件 夹 在 脱 机 时 的 设置 ， 单 击 “ 更 改 ” 按 钮 打 


开 “ 脱 机 设置 ”对 话 框 ， 可 以 从 中 选择 脱 机 用 户 是 否 可 以 使 用 及 如 何 使 用 共享 内 容 的 方式 ， 
如 图 10-31 所 示 。 
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10-31 “ 脱 机 设置 ”对 话 框 


(5) 然后 单 击 “ 下 一 步 ” 按 钮 打开“ 权限” 对 话 框 。 在 该 对 话 框 中 ， 向 导 要 求 设置 网 
络 用 户 的 访问 权限 。 权 限 的 设置 只 对 通过 网 络 访问 的 用 户 有 效 ， 如 果 用 户 从 本 机 登录 ， 则 不 
受 此 权限 的 约束 。 权 限 的 默认 值 为 所 有 用 户 对 此 共享 文件 夹 都 具有 完全 控制 的 权限 ， 也 就 是 
拥有 所 有 权限 。 另 外 ， 用 户 可 以 选择 “管理 员 有 完全 访问 权限 ; 其 他 用 户 有 只 读 访问 权限 ” 
单 选 按钮 以 拒绝 一 般 用 户 对 该 共享 资源 的 访问 。 除 了 使 用 系统 已 设 定 的 权限 ， 用 户 还 可 以 选 
择 “ 使 用 自 定义 共享 和 文件 夹 权 限 ” 单 选 按钮 ， 然 后 ， 通 过 “ 自 定义 ”按钮 自 定义 网 络 用 
户 的 访问 权限 ， 如 图 10-32 所 示 。 

(6) 设置 完 网 络 用 户 的 访问 权限 后 ， 单 击 “ 完 成 ”按钮 即 可 完成 创建 共享 文件 夹 的 操作 。 

另外 ， 要 添加 共享 文件 夹 ， 也 可 以 通过 “我 的 电脑 ”来 实现 ， 具 体操 作 步 又 如 下 。 

(1) 双击 桌面 上 “我 的 电脑 ”图 标 ， 然 后 打开 要 设置 为 共享 文件 夹 的 驱动 器 并 选择 文件 
夹 。 选 择 “ 文 件 ”|“ 共 享 ”命令 ， 系 统 将 打开 选 定 文件 夹 的 “属性 ”对 话 框 ， 选 择 “ 共 享 ” 
选项 卡 ， 如 图 10-33 所 示 。 
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(2) 在 该 选项 卡 中 选择 “共享 该 文件 夹 ” 单 选 按 钮 ， 并 根据 需要 设置 文件 夹 的 共享 名 、 
备注 信息 及 用 户 数 限制 等 。 同 时 还 可 以 为 通过 网 络 访问 该 文件 夹 的 用 户 设置 访问 许可 权限 。 
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(3) 设置 完毕 后 ， 单 击 “ 确 定 ”按钮 即 可 使 设置 生效 。 


10.6.2 ”停止 共享 文件 夹 


当 不 想 共享 某 个 文件 夹 时 ， 可 以 停止 对 该 文件 夹 的 共享 。 文 件 夹 一 旦 停止 了 共享 ， 网 络 
上 的 用 户 就 无 法 再 访问 该 文件 夹 了 。 在 将 某 个 文件 夹 停止 共享 之 前 ， 首 先 要 确定 已 经 没有 用 
户 与 该 文件 夹 连接 了 ， 否 则 正在 连接 用 户 的 数据 可 能 会 丢失 。 另 外 ， 并 不 是 所 有 的 用 户 都 可 
以 停止 文件 夹 的 共享 ， 只 有 属于 Administrators 组 的 用 户 才 有 权利 停止 文件 夹 的 共享 。 

下 面 是 停止 文件 夹 共享 的 操作 步骤 。 

(1) 在 “计算 机 管理 ”窗口 中 选择 要 停止 共享 的 文件 夹 。 

(2) 选择 “操作 ”|“ 停 止 共享 ”命令 ， 系 统 将 弹出 确认 对 话 框 ， 单 击 该 对 话 框 中 的 “是 ” 
按钮 即 可 ， 如 图 10-34 所 示 。 
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图 10-34 ”确认 停止 共享 


另外 ， 用 户 也 可 以 通过 “我 的 电脑 ”窗口 停止 对 文件 夹 的 共享 ， 操 作 步 骤 如 下 。 

(1) 双击 桌面 上 “我 的 电脑 ”图 标 ， 选 择 已 设置 为 共享 的 文件 夹 。 

(2) 选择 “文件 ”| “共享 ”命令 ,在 弹出 的 对 话 框 中 打开 “共享 ”选项 卡 ， 从 中 选择 “不 
共享 该 文件 夹 ” 单 选 按 钮 即 可 。 


10.6.3 ”更改 共 享 文件 夹 的 属性 


在 日 常 使 有 中， 有 时 需要 更 改 共享 文件 夹 的 用 户 个 数 、 备 注 、 权 限 等 属性 。 要 更 改 文件 
夹 的 这 些 属性 ， 可 以 按 以 下 步 又 进行 。 

(1) 在 “计算 机 管理 ”窗口 中 选择 要 修改 共享 属性 的 文件 来， 选择 “操作 ”|“ 属 性 ” 命 
令 ， 或 者 双击 鼠标 左 键 即 可 打开 其 属性 对 话 框 ， 如 图 10-35 所 示 。 

(2) 在 “常规 ”选项 卡 中 ， 用 户 可 以 设置 允许 多 少 个 网 络 用 户 同时 访问 该 共享 文件 夹 ， 
也 可 以 选择 “允许 最 多 用 户 ” 单 选 按钮 以 使 所 有 网 络 用 户 可 以 同时 访问 该 文件 夹 。 

(3) 选择 “发 布 ”选项 卡 ， 选 中 “将 这 个 共享 在 Active Directory 中 发 布 ” 复 选 框 ， 便 可 
将 该 共享 文件 夹 发 布 到 域 中 ， 也 可 以 在 “描述 ”文本 框 中 输入 一 些 关 于 该 共享 资源 的 描述 性 
信息 ， 以 方便 网 络 客户 了 解 该 共享 资源 的 内 容 ， 如 图 10-36 所 示 。 
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(4) 设置 完 所 有 属性 后 ， 单 击 “确定 ”按钮 即 可 使 设置 生效 。 
同样 也 可 以 利用 “我 的 电脑 ”来 修改 共享 文件 夹 的 属性 。 只 要 选 定 共享 文件 夹 ， 然 后 选 
择 “ 菜 单 ” |“ 属性 ”命令 ， 打 开 其 属性 对 话 框 ， 进 行 相应 的 修改 即 可 。 


10.6.4 映射 网 络 驱动 器 


在 实际 应 用 中 ， 通 常 要 为 共享 资源 分 配 一 个 网 络 驱 动 器 ， 把 共享 文件 夹 映射 成 驱动 器 。 
这 样 在 使 用 时 非常 方便 ， 特 别 是 对 经 常 使 用 的 共享 文件 夹 。 

下 面 是 映射 驱动 器 的 具体 操作 步 又 。 

(1) 双击 桌面 上 “我 的 邻居 ”图 标 ， 找 到 要 共享 的 文件 夹 所 在 的 计算 机 。 打 开 该 计算 机 ， 
找到 共享 文件 夹 。 或 者 在 本 地 计算 机 上 双击 “我 的 电脑 ”图 标 ， 根 据 文件 夹 路 径 找 到 共享 文 
件 夹 。 

(2) 选择 “文件 ” |“ 映射 网 络 驱动 器 ”命令 ， 或 者 选择 “工具 ”|“ 映 射 网 络 驱动 器 ” 命 
令 ， 也 可 以 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “映射 网 络 驱 动 器 ”命令 ,打开 “了 映射 
网 络 驱动 器 ”对 话 框 ， 如 图 10-37 所 示 。 

(3) 在 “驱动 器 ”下 拉 列 表 框 中 选择 一 个 本 机 没有 使 用 的 磁盘 盘 符 作为 共享 文件 夹 的 映 
射 驱动 器 盘 符 。 如 果 希 望 下 次 登录 时 自动 建立 与 共享 文件 夹 的 连接 ， 可 以 选中 “登录 时 重新 
连接 ” 复 选 框 。 

(4) 单 击 “ 完 成 ”按钮 ， 即 可 完成 共享 文件 夹 到 本 机 的 映射 。 这 时 在 “我 的 电脑 ”窗口 
中 会 发 现 本 机 物理 磁盘 的 后 面 多 了 一 个 驱动 器 符 , 通过 该 驱动 器 符 可 以 直接 访问 共享 文件 夹 ， 
就 如 同 访问 本 机 物理 磁盘 一 样 ， 如 图 10-38 所 示 。 
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图 10-37 “了 映射 网 络 驱 动 器 ”对 话 框 图 10-38 ”通过 映射 的 磁盘 访问 网 络 中 的 共享 文件 夹 


10.6.5” 断 开 网 络 驱动 器 


如 果 要 断 开 映射 的 网 络 驱动 器 ， 可 以 按 如 下 步骤 进行 。 
(1) 打开 “我 的 电脑 ”窗口 ， 选 择 想 要 断 开 的 驱动 器 。 
(2) 选择 “工具 ”|“ 断 开 映 射 驱 动 器 ”命令 ， 系 统 将 打开 “中 断 网 络 驱动 器 连接 ”对 话 


框 ， 如 图 10-39 所 示 。 


里 中 断 网 络 驱 动 器 连接 


选择 要 中 断 哪 些 网 络 驱动 器 的 连接 ， 然 后 单 击 “ 确 定 ”。 


全 要 于 


10-39 “中 断 网 络 驱动 器 连接 ”对 话 框 


(3) 单 击 “确定 ”按钮 ， 完 成 操作 。 
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言 息 服务 器 ( 即 Internet Information Server， 简 称 11S) 是 用 户 创建 
信息 服务 器 的 最 重要 的 组 件 ， 它 是 微软 公司 主推 的 服务 器 ， 其 最 新 的 
版 本 是 Windows 2003 中 包含 的 IIS 6.0。1IS 与 Window NT Server 
完全 集成 在 一 起 , 因而 用 户 能 够 利用 Windows NT Server 和 NTFS(NT 
File System，NT 的 文件 系统 ) 内 置 的 安全 特性 ， 建 立 强大 、 灵 活 且 安 
全 的 www 站 点 。 

llS 支持 HTTP(Hypertext Transfer Protocol， 超 文本 传输 协议 )， 
FTP(File Transfer Protocol， 文 件 传输 协议 ) 以 及 SMTP 协议 ， 通 过 使 用 
CGI 和 1ISAPI，IIS 可 以 得 到 高 度 的 扩展 。 通 过 IIS， 开 发 人 员 就 可 以 开 
发 出 新 一 代 动 态 的 、 富 有 魅力 的 Web 站 点 。|IS 不 需要 开发 人 员 学 习 
新 的 脚本 语言 或 者 编译 应 用 程序 ， 它 完全 支持 VBScript，JScript 开发 
软件 以 及 Java, 它 也 支持 CGI 和 WinCGI, 以 及 ISAPI 扩展 和 过 滤器 。 
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11.1 WWW 概述 


WWW 是 World Wide Web 的 缩写 即 “ 万 维 网 ”， 是 Intemet 上 发 展 最 快 和 使 用 最 多 的 
一 项 服务 ， 其 可 以 提供 包括 文本 、 图 形 、 声 音 和 视频 等 在 内 的 多 媒体 信息 的 浏览 。 

WWW 服务 的 基础 是 Web 页 面 , 每 个 服务 站 点 都 包括 若干 个 相互 关联 的 页 面 , 每 个 Web 
页 面 既 可 以 展示 文本 、 图 形 图 像 和 声音 等 多 媒体 信息 ， 又 可 以 提供 一 种 特殊 的 链接 点 。 这 种 
链接 点 指向 一 种 资源 ， 可 以 是 另 一 个 Web 页 面 、 另 一 个 文件 、 另 一 个 Web 站 点 ， 这 样 可 使 
全 球 范围 的 WWW 服务 连 成 一 体 ， 这 就 是 所 谓 的 超 文本 和 超 链 接 技 术 。 用 户 只 要 用 鼠标 在 
Web 页 面 上 单 击 这 些 超 链 接 , 就 可 以 获得 全 球 范围 的 多 媒体 信息 服务 。WWW 的 核心 是 Web 
服务 器 ， 由 它 提供 各 种 形式 的 信息 ， 用 户 采 用 Web 浏览 器 软件 来 使 用 这 些 服务 。 


11.1.1 Web 浏览 器 的 工作 原理 


WWW 基于 客户 机 /服务 器 模式 ，Web 浏览 器 将 请 求 发 送 到 Web 服务 器 ， 服 务 器 响应 这 
种 请 求 ， 将 其 所 请 求 的 页 面 或 文档 传送 给 Web 浏览 器 ， 浏 览 器 获得 Web 页 面 ， 这 就 是 所 谓 
的 下 载 过 程 。Web 浏览 就 是 一 个 从 服务 器 下 载 页 面 的 过 程 。 

用 户 输入 不 同 的 域名 地 址 ， 如 www.edu.cn， 可 以 打开 特定 的 Web 服务 器 的 相应 文档 ， 
下 载 到 浏览 器 上 ， 浏 览 器 解释 HTML 所 描述 的 动画 、 声 音 、 文 本 和 图 形 图 像 ， 以 及 需要 进 一 
步 链接 的 URL， 展 现 给 用 户 的 是 极其 丰富 的 超 文本 信息 。 


11.1.2 与 WWW 服务 相关 的 术语 


1. 统一 资源 定位 器 URL 


统一 资源 定位 器 URL(Uniform Resource Locator) 用 于 在 因特网 上 进行 资源 的 定位 ， 其 构 
成 格式 为 : 


Protocol://machine.name[:port]/directory/filename 


其 中 各 项 含义 如 下 。 

(1) Protocol: 是 访问 该 资源 所 采用 的 协议 ， 即 访问 该 资源 的 方法 ， 它 可 以 是 以 下 几 种 。 
。 HITP 一 一 超 文本 传输 协议 ， 该 资源 是 HIML 文件 。 

。 FTP 一 一 文件 传输 协议 ， 用 FTP 访问 该 资源 。 

(2) machine name: 是 存放 资源 主机 的 他 地址 ， 通 常 以 字符 形式 出 现 ， 如 www.edu.cn。 
(3) port( 端 口号 ): 是 服务 器 在 其 主机 上 所 使 用 的 端口 号 。 一般 情况 下 端口 号 不 需要 指定 ， 
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因为 通常 这 些 端口 号 都 有 一 个 默认 值 ， 只 有 当 服 务 器 所 使 用 的 端口 号 不 是 默认 的 端口 号 时 才 
需要 指定 。 

(4) directory 和 flename: 是 该 资源 的 路 径 和 文件 名 。 

2. 超 文 本 传输 协议 HTTP 


超 文 本 传输 协议 HTTP(Hyper Text Transfer Protocol) 从 1990 年 开始 应 用 于 WWW， 它 
可 以 简单 地 被 看 成 是 浏览 器 和 Web 服务 器 之 间 的 会 话 。 由 于 通过 该 协议 在 网 络 上 查询 的 信息 
中 ， 包 含 了 用 户 可 以 实现 进一步 查询 的 链接 ， 因 此 ， 用 户 可 以 只 关心 要 检索 的 信息 ， 而 无 需 
考虑 这 些 信息 存储 在 什么 地 方 。 

为 了 从 服务 器 上 把 用 户 需 要 的 信息 发 送 回 来 ，HTTP 定义 了 简单 事物 处 理 程序 ， 由 以 下 
4 个 步骤 组 成 。 

(1) 客户 机 与 服务 器 建立 连接 。 

(2) 客户 机 向 服务 器 递交 请 求 ， 在 请 求 中 指明 所 要 求 的 特定 文件 。 

(3) 如 果 请 求 被 接纳 ， 那 么 服务 器 便 发 回 一 个 应 答 。 在 应 答 中 至 少 应 当 包括 状态 编号 和 
该 文件 内 容 。 

(4) 客户 机 与 服务 器 断 开 连接 。 

HTTP 协议 提供 了 一 种 简单 算法 ， 使 得 服务 器 能 迅速 为 客户 机 作出 应 答 。 为 此 HTTP 协 
议 应 当 是 一 个 无 状态 协议 ， 即 从 一 个 请 求 到 另 一 个 请 求 不 保留 任何 有 关连 接 的 信息 。 另 外 ， 
每 次 连接 , HTTP 只 完成 一 个 请 求 , 在 一 次 请 求 完成 以 后 ， 服 务 器 与 客户 机 之 间 的 连接 便 断 开 。 


11.2 IIS 6.0 的 概念 


IIS 6.0 是 Windows Server 2003 的 一 个 组 件 ,可 以 使 Windows Server 2003 成 为 一 个 Intemet 
信息 的 发 布 平 台 ， 为 系统 管理 员 创建 和 管理 Intemet 信息 服务 器 提供 各 种 管理 功能 和 操作 方 
法 。 但 系统 管理 员 在 利用 IIS 6.0 创建 Internet 信息 服务 器 之 前 ， 必 须 确认 在 安装 系统 时 已 经 
安装 了 HS， 和 否则 还 需要 另外 单独 安装 IIS 6.0。 

在 Windows Server 2003 中 ，IIS 6.0 与 系统 进行 了 很 好 的 集成 ， 它 提供 了 许多 一 级 组 件 ， 
其 中 一 些 与 相关 的 服务 和 工具 绑 定 在 一 起 ， 管 理 员 可 以 根据 需要 的 服务 来 选择 所 需 的 组 件 。 
IIS 的 核心 组 件 包括 Intemet 服务 管理 器 (安装 基于 HTML 版 本 的 IIS 管理 界面 )、FrontPage 服 
务 器 扩展 (以 方便 使 用 FrontPage 和 Visual InterDev 来 创建 和 管理 站 点 和 发 布 内 容 )、Internet 
信息 服务 管理 单元 (可 以 将 IIS 的 管理 界面 安装 到 MMC 中 )、Web 服务 (可 以 使 HTTP 协议 响 
应 TCP/IP 网 络 上 的 Web 客户 端 请 求 )、 文 件 传输 协议 服务 (为 建立 用 于 上 传 或 下 载 的 FTP 站 
点 提供 支持 )、NNTP Service( 提 供 简单 网 络 新 闻 服 务 )、SMTP Service( 提 供 简单 邮件 传输 功能 
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和 公用 文件 (提供 所 需要 的 IS 程序 文件 ) 等 。 另 外 ，IIS 还 支持 其 他 一 些 功能 强大 的 组 件 ， 如 
XML、ASP、ISAPI(Intermet 服务 器 应 用 程序 编程 接口 )、IDC(Intemet 数据 连接 器 )、JVM( 服 
务 器 端的 Java 虚拟 机 )、JSP、JavaScript、VBScript 和 CGI( 公 共 网 关 接口 ) 等 ， 这 些 组 件 直 接 
影响 到 服务 器 所 提供 的 内 容 和 功能 。 

IIS 6.0 与 Windows Server 2003 中 的 其 他 组 件 不 同 , 它 是 一 个 mtemet 信息 服务 平台 。IIS 
6.0 提供 的 众多 服务 都 是 用 来 完成 它 的 核心 功能 的 ， 而 且 这 些 服务 都 可 以 应 用 到 Intemet 上 的 
信息 服务 中 ， 其 中 最 常用 、 最 重要 的 服务 是 Web 服务 和 FTP 服务 ， 它 们 也 是 在 安装 HS 6.0 
时 默认 安装 的 服务 。 安 装 了 IIS 6.0 的 服务 器 就 成 为 了 Intemet 信息 服务 器 ， 它 对 内 可 以 服务 
本 地 局 域 网 络 ， 对 外 可 以 服务 于 Internet。 


11.3 ”安装 1IS 6.0 


为 了 更 好 地 防止 用 户 的 恶意 攻击 ， 保 护 系统 安全 ， 在 默认 情况 下 ，Windows Server 2003 
没有 自动 安装 IS 6.0， 系 统管 理 员 需 要 单独 安装 IIS 6.0， 以 创建 Intemet 信息 服务 器 。 管 理 员 
可 通过 使 用 控制 面板 中 的 “添加 或 删除 程序 ”向 导 来 安装 此 组 件 ， 具 体操 作 步 又 如 下 。 

(1) 打开 “开始 ”菜单 ， 选 择 “ 控 制 面板 ”|“ 添 加 或 删除 程序 ”命令 ， 即 可 打开 “添加 
或 删除 程序 ”窗口 。 在 窗口 的 左边 列表 框 中 ， 单 击 “ 添 加 /删除 Windows 组 件 ” 按 钮 ， 即 可 
启动 Windows 组 件 安装 向 导 ， 打 开 “Windows 组 件 向 导 ” 对 话 框 ， 如 图 11-1 所 示 。 
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图 11-1 “Windows 组 件 向 导 ” 对 话 框 


(2) 在 “组 件 ” 列 表 框 中 ， 选 中 “应 用 程序 服务 器 ” 左 侧 的 复 选 框 。“ 应 用 程序 服务 器 ” 
包括 ASP.NET、Intemet 信息 服务 ITS) 和 应 用 程序 服务 器 控制 台 等 。 要 查看 和 设置 组 件 的 详 
细 信 息 ， 可 以 单 击 “ 详 细 信息 ”按钮 ， 打 开 “ 应 用 程序 服务 器 ”对 话 框 ， 选 中 “Intemet 信息 
服务 (IS)” 复 选 框 ， 如 图 11-2 所 示 。 
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(3) 如 果 要 查看 和 设置 IS 6.0 的 详细 内 容 ， 可 以 双击 该 选项 ， 或 者 单 击 “详细 信息 ” 按 

钮 ， 打 开 如 图 11-3 所 示 的 “Intemet 信息 服务 (IS)” 对 话 框 。 在 该 对 话 框 中 ，“Intemet 信息 

服务 (ITS) 的 子 组 件 ” 列 表 框 中 列 出 了 所 有 IS 6.0 支持 的 子 组 件 ， 用 户 可 以 通过 选中 子 组 件 左 

侧 的 复 选 框 来 决定 安装 哪些 组 件 ， 然 后 单 击 “ 确 定 ”按钮 ， 返 回 “Windows 组 件 向 导 ” 对 
话 框 。 

(4) 选 定 要 安装 的 组 件 后 ， 单 击 “ 下 一 步 ”按钮 ， 系 统 即 可 开始 进行 IIS 6.0 的 安装 ， 同 

时 打开 Windows 组 件 向 导 的 “正在 配置 组 件 ” 对 话 框 ， 如 图 11-4 所 示 。 
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图 11-3 “Internet 信息 服务 (IIS)” 对 话 框 11-4 “正在 配置 组 件 ” 对 话 框 
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(5) 因为 IIS 6.0 是 Windows Server 2003 的 一 个 组 件 , 在 后 续 安 装 时 系统 也 会 提示 要 求 插 
入 系统 盘 。 用 户 插 入 光盘 后 单 击 “ 确 定 ” 按 钮 。 在 完成 IS 6.0 的 安装 之 后 ， 向 导 进入 最 后 的 
完成 安装 对 话 框 ， 单 击 “ 确 定 ”按钮 即 可 完成 创建 。 


11.4 创建 和 管理 Web 站 点 


在 服务 器 上 安装 了 IIS 6.0 之 后 ， 管 理 员 就 可 以 着 手 组 建 Intemet 信息 服务 器 了 。 通 过 
Internet 信息 服务 器 ， 管 理 员 可 以 提供 多 种 信息 服务 ， 其 中 ， 最 重要 的 服务 功能 是 Web 服务 ， 
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因此 首先 要 为 服务 器 创建 Web 服务 。 


11.4.1 创建 Web 站 点 


在 安装 IIS 6.0 时 ， 系 统 会 自动 创建 一 个 名 称 为 “默认 网 站 ”的 Web 网 站 ， 管 理 员 通 过 
它 可 以 实现 Web 内 容 的 快速 发 布 。 但 是 ， 如 果 管 理 员 要 发 布 的 内 容 比 较 多 ， 而 且 具 有 不 同 的 
主题 , 应 在 服务 器 上 创建 不 同 的 Web 网 站 , 分 别 进行 信息 服务 , 使 得 一 个 站 点 具有 一 个 主题 ， 
这 样 有 利于 访问 者 查找 自己 感 兴趣 的 信息 。 

创建 Web 网 站 的 具体 操作 步骤 如 下 。 

(1) 单 击 “ 开 始 ” 菜 单 ， 选 择 “ 管 理工 具 ”|“Internet 服务 管理 器 ”命令 ， 打开“Intemet 

息 服 务 (IIS) 管 理 器 ”窗口 ， 在 控制 台 目 录 树 中 展开 服务 器 节点 ， 如 图 11-5 所 示 。 
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(CO) 在 控制 台 窗口 的 “网 站 ”节点 上 单 击 鼠 标 右键 ， 从 弹出 的 快捷 菜单 中 选择 “新 建 ”| 
“网 站 ”命令 ， 打 开 “ 网 站 创建 向 时 ”对 话 框 ， 如 图 11-6 所 示 。 

(3) 单 击 “ 下 一 步 ” 按 钮 打开 “网 站 描述 ”对 话 框 ， 在 “描述 ”文本 框 中 输入 站 点 说 
明 即 站 点 名 称 ， 用 于 帮助 管理 员 识别 站 点 ， 如 图 11-7 所 示 。 


欢迎 使 用 网 站 创建 向 导 局 站 攻 壕 > 
辣 M 扫 二 用 于 和 支管 理 只 识别 让 点 . 
输入 网 站 拱 述 。 
此 疝 导 各 动 让 证 计 条 机 上 新 建 一 个 网 站 ， 拓 渤 加: 
FT | 
-sw [EB] ， 出 
图 11-6 。 “欢迎 使 用 网 站 创建 向 导 ” 对 话 框 11-7 “网 站 描述 ”对 话 框 


(4) 然后 ， 单 击 “ 下 一 步 ” 按 钮 ， 打开“ 了 地 址 和 端口 设置 ”对 话 框 ， 在 “网 站 卫 地 址 ” 
下 拉 列 表 框 中 选择 或 直接 输入 卫 地 址 ; 在 “网 站 TCP 端口 ”文本 框 中 输入 TCP 端口 值 ， 其 
默认 值 为 80; 如 果 有 主机 头 , 可 在 “此 网 站 的 主机 头 ” 文 本 框 中 输入 主机 头 , 系统 默认 为 “无 ”， 
如 图 11-8 所 示 。 

(5) 单 击 “ 下 一 步 ”按钮 ， 打 开 “ 网 站 主 目录 ”对 话 框 ， 在 “路 径 ”文本 框 中 输入 主 目 
录 的 路 径 ， 或 单 击 “ 浏 览 ” 按 钮 选择 路 径 。 如 果 人 允许 访问 者 匿名 访问 此 站 点 ， 则 选中 “允许 
匿名 访问 网 站 ” 复 选 框 ， 如 图 11-9 所 示 。 


网 站 主 目录 
主 目录 是 Yeb 内 容 子 目录 的 根 目录 。 
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图 11-8 “IP 地 址 和 端口 设置 ”对 话 框 图 11-9 输入 主 目录 的 路 径 


(6) 单 击 “ 下 一 步 ”按钮 ， 打 开 “ 网 站 访问 权限 ”对 话 框 ， 在 “允许 下 列 权限 ”选项 区 
域 中 设置 主 目录 的 访问 权限 ， 如 图 11-10 所 示 。 

(7) 单 击 “ 下 一 步 ”按钮 ， 打 开 “ 完 成 网 站 创建 向 导 ” 对 话 框 。 单 击 “ 完 成 ”按钮 ， 即 
可 完成 站 点 的 创建 ， 如 图 11-11 所 示 。 


图 11-10 设置 主 目录 的 权限 
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为 了 站 点 安全 ， 在 “网 站 访问 权限 ”对 话 框 中 不 要 轻易 选中 “ 读 取 ”和 “ 写 入 ” 
复 选 框 ， 这 样 网 站 访问 者 将 能 够 查看 和 修改 站 点 文件 的 内 容 ， 从 而 对 站 点 构成 威胁 。 


11.4.2 设置 Web 站 点 的 属性 


在 创建 了 网 站 之 后 ， 还 需要 对 网 站 的 属性 进行 相应 的 设置 ， 才 能 更 好 地 发 挥 其 功能 。 
1. 设置 网 站 主 目录 


主 目录 是 站 点 的 中 心 ， 通 常 ， 它 包含 带 有 欢迎 内 容 的 主页 或 索引 文件 ， 并 且 包 含 站 点 到 
其 他 主要 Web 页 面 的 所 有 链接 。 每 个 Web 网 站 都 必须 有 一 个 主 目录 。 主 目录 映射 为 站 点 的 
域名 或 服务 器 名 。 例 如 ， 如 果 站 点 的 Intemet 域名 是 www.bupt.edu.cn， 并 且 主 目录 是 
CANMyWebsite\info， 则 在 浏览 器 的 “地 址 ”下 拉 列 表 框 中 输入 http:// www.bupt.edu.cn 即 可 访 
问 文件 夹 CNMyWebsite\info 中 的 文件 。 对 于 系统 自动 创建 的 默认 Web 网 站 ， 其 默认 的 主 目 
录 是 “% 系 统 文件 夹 %\Inetpub\Wwwroot”。 在 创建 新 的 网 站 时 ， 管 理 员 也 需要 选择 站 点 的 主 
目录 。 确 定 主 目录 之 后 ， 管 理 员 只 需 将 要 发 布 的 内 容 复 制 到 该 目录 下 即 可 。 

设置 主 目录 的 具体 操作 步骤 如 下 。 

(1) 单 击 “ 开 始 ” 菜 单 , 选择 “管理 工具 ”|“Intemet 信息 服务 管理 器 ”命令 , 打开 “Intemet 
信息 服务 ”窗口 。 在 控制 台 目 录 树 中 展开 服务 器 节点 ， 在 要 设置 主 目录 的 网 站 列表 选项 上 单 
击 鼠 标 右键 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,打开 其 属性 对 话 框 后 ,选择 “ 主 目录 ” 
选项 卡 ， 如 图 11-12 所 示 。 
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(2) 在 “ 主 目录 ”选项 卡 中 ,管理 员 通 过 3 个 单 选 按钮 可 以 选择 主 目录 内 容 的 来 源 位 置 。 
如 果 选 中 “此 计算 机 上 的 目录 ” 单 选 按钮 ， 管 理 员 可 以 将 本 地 计算 机 上 的 目录 作为 该 站 点 的 
主 目录 ， 如果 选 中 “ 另 一 台 计算 机 上 的 共享 ” 单 选 按钮 ， 管 理 员 可 以 从 本 地 局 域 网 络 中 的 其 
他 计算 机 上 查找 目录 并 作为 主 目录 ; 如 果 选 中 “ 重 定向 到 URL” 单 选 按 钮 ， 管 理 员 可 以 将 主 
目录 的 目录 内 容重 定向 到 Intemet 上 的 某 个 Web 网 站 。 
(3) 在 该 选项 卡 中 ， 将 目录 本 地 路 径 、 权 限 及 应 用 程序 设置 好 之 后 ， 单 击 “ 确 定 ” 按 钮 
即 可 完成 主 目录 的 设置 。 

2. 添加 虚拟 目录 


虚拟 目录 是 网 站 中 除 主 目 录 之 外 的 其 他 发 布 目 录 。 要 从 主 目录 以 外 的 其 他 目录 中 进行 内 
容 发 布 ， 就 必须 创建 虚拟 目录 。 虚 拟 目录 不 包含 在 主 目录 中 ， 但 在 显示 给 客户 浏览 器 时 就 像 
位 于 主 目录 中 一 样 。 虚 拟 目录 有 一 个 “别名 ”， 以 供 Web 浏览 器 用 于 访问 此 目录 。 别 名 通常 
比 目 录 的 路 径 名 短 ， 这 样 便于 访问 者 输入 ， 而 且 使 用 别名 更 安全 ， 因 为 访问 者 不 知道 文件 是 
否 真 的 存在 于 服务 器 上 ， 所 以 便 无 法 使 用 这 些 信息 来 修改 文件 ， 使 用 别名 还 可 以 更 方便 地 移 
动 站 点 中 的 目录 。 一 旦 要 更 改 目录 的 URL， 只 需 更 改 别名 与 目录 实际 位 置 的 映射 即 可 。 

对 于 简单 的 网 站 一 般 不 需要 添加 虚拟 目录 ， 可 以 将 所 有 文件 放置 在 站 点 的 主 目录 中 ， 但 
是 ， 如 果 站 点 比较 复杂 或 者 需要 为 网 站 的 不 同 部 分 指定 不 同 的 URL， 可 以 按 需 要 创建 虚拟 
目录 。 

添加 虚拟 目录 的 具体 步骤 如 下 。 

(1) 打开 “Intemet 信息 服务 ”窗口 ， 在 控制 台 目 录 树 中 展开 服务 器 节点 ， 在 要 创建 虚拟 
目录 的 站 点 或 者 其 下 级 目录 上 单 击 鼠标 右键 , 在 弹出 的 快捷 菜单 中 选择 “新 建 ”| “虚拟 目录 ” 
命令 ， 打 开 “ 虚 拟 目录 创建 向 导 ” 对 话 框 ， 如 图 11-13 所 示 。 

(2) 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 虚 拟 目录 别名 ”对 话 框 ， 在 “别名 ”文本 框 中 输入 用 
于 获得 此 网 站 的 虚拟 目录 访问 权限 的 别名 ， 如 图 11-14 所 示 。 
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(3) 输入 别名 后 ， 单 击 “ 下 一 步 ”按钮 ， 打 开 “ 网 站 内 容 目 录 ” 对 话 框 ， 在 “路 径 ” 
本 框 中 输入 或 者 选择 虚拟 目录 的 来 源 路 径 ， 如 图 11-15 所 示 。 

(4) 单 击 “ 下 一 步 ”按钮 打开“ 虚拟 目录 访问 权限 ”对 话 框 ， 在 “人 允许 下 列 权限 ” 选 
项 区 域 中 为 此 目录 设置 访问 权限 ， 如 图 11-16 所 示 。 
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(5) 访问 权限 设置 完成 后 ， 单 击 “ 下 一 步 ”按钮 ， 打 开 “ 虚 拟 目录 创建 完成 ”对 话 框 ， 
单 击 “ 完 成 ”按钮 ， 虚 拟 目录 即 可 创建 完成 。 在 控制 台 窗 口中 ， 虚 拟 目录 和 实际 目录 (不 带 别 
名 的 目录 ) 都 显示 在 Intemet 服务 管理 器 中 。 虚 拟 目录 由 角 上 带 有 地 球 的 文件 夹 图 标 来 表示 。 

注 
释 
如 果 管 理 员 需 要 创建 多 个 虚拟 目录 ， 使 用 上 面 的 方法 就 显得 不 太 方便 ， 这 时 可 以 


直接 在 资源 管理 器 中 找到 需要 发 布 的 目录 ， 然 后 将 其 设置 为 Web 共享 , 这 样 也 可 达到 
此 目的 。 


3. 设置 默认 文档 


默认 文档 是 指 在 浏览 器 请 求 指定 文档 名 的 时 候 提 供 的 文档 ， 它 可 以 是 目录 的 主页 或 包含 
站 点 文档 目录 列表 的 索引 页 。 当 其 他 访问 者 访问 管理 员 的 站 点 时 ， 如 果 不 提供 目录 下 的 文档 
名 ， 则 启用 默认 文档 。 使 用 默认 文档 有 利于 访问 者 快速 访问 站 点 上 的 的 内 容 ， 并 减少 访问 者 
的 地 址 输入 工作 ， 因 此 ， 管 理 员 应 为 每 一 个 主 目录 和 虚拟 目录 指定 默认 文档 。 

启用 默认 文档 的 具体 操作 步骤 如 下 。 

(1) 打开 “Intemet 信息 服务 ”窗口 ， 在 控制 台 目 录 树 中 ， 在 需要 启用 默认 文档 的 Web 
网 站 或 虚拟 目录 上 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 在 打开 的 属性 对 
话 框 中 选择 “文档 ”选项 卡 ， 如 图 11-17 所 示 。 
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(2) 在 该 选项 卡 中 选中 “启用 默认 内 容 文 档 ” 复 选 框 ， 系 统 默 认 的 文档 为 Defaulthtm、 
Default.asp 和 Index.htm。 如 果 管理 员 要 添加 一 个 新 的 默认 文档 ， 可 以 单 击 “ 添 加 ”按钮 打开 
“添加 内 容 页 ”对 话 框 ， 在 “默认 内 容 页 ”文本 框 中 输入 文档 名 ， 然 后 单 击 “确定 ”按钮 即 
可 ， 如 图 11-18 所 示 。 
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11-17 “文档 ”选项 卡 


“添加 内 容 页 ”对 话 框 


(3) 管理 员 可 以 通过 “添加 ”按钮 指定 多 个 默认 文档 ， 系 统 会 按 出 现在 列表 框 中 的 名 称 


顺序 提供 默认 文档 ， 并 返回 所 找到 的 第 一 个 文档 。 如 果 要 更 改 搜索 顺序 ， 选 择 一 个 文档 并 单 
击 “ 上 移 ” 或 “下 移 ” 按 钮 即 可 。 


(4) 要 从 列表 框 中 删除 默认 文档 ， 单 击 “ 删 除 ”按钮 即 可 。 
(5) 默认 文档 设置 完毕 ， 单 击 “ 确 定 ” 按 钮 关闭 对 话 框 。 
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管理 员 为 站 点 设置 了 主 目录 和 虚拟 目录 之 后 ， 即 可 将 创建 的 内 容 复 制 到 相应 的 


目录 中 ， 然 后 根据 Web 页 面 的 文件 名 设置 默认 文档 ， 此 时 其 他 基于 局 域 网 络 或 者 
Intermet 的 访问 者 即 可 访问 管理 员 的 Web 网 站 。 


11.4.3 ”管理 Web 网 站 服务 


为 了 使 网 站 有 效 的 运行 和 提供 最 新 的 页 面 内 容 , 管理 员 在 创建 Web 网 站 之 后 , 还 必须 对 
Web 网 站 及 其 他 相关 内 容 进 行 管理 ， 如 设置 内 容 过 期 和 分 级 、 启 用 文档 页 脚 和 设置 服务 器 属 
性 等 。Web 服务 的 管理 是 一 个 长 期 而 且 复杂 的 工作 , 管理 员 需 要 在 实践 中 逐步 地 应 用 和 掌握 。 


在 “Intemet 信息 服务 ”窗口 中 ， 在 需要 操作 的 Web 网 站 上 单 击 鼠 标 右键 ， 通 过 选择 快 
捷 菜 单 中 的 各 项 命令 ， 管 理 员 可 以 对 当前 站 点 进行 浏览 、 删 除 、 重 命名 等 各 种 操作 。 
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1. 查看 内 容 


如 果 管 理 员 要 查看 站 点 主 目录 下 的 文件 夹 和 文件 ， 可 以 通过 “开始 ”|“ 资 源 管理 器 ” 命 
令 来 完成 。 可 以 通过 选择 “资源 管理 器 ”命令 打开 “资源 管理 器 ”窗口 来 查看 主 目录 下 的 文 
件 内 容 ， 也 可 以 选择 “打开 ”命令 ,打开 “我 的 电脑 ”窗口 来 查看 主 目录 下 的 文件 内 容 。 

如 果 管 理 员 直接 通过 浏览 器 来 浏览 当前 Web 网 站 的 默认 文档 的 Web 页 面 内 容 ， 可 以 选 
择 “ 浏 览 ”命令 ， 则 系统 会 启动 默认 的 浏览 器 进行 浏览 ， 这 样 有 利于 管理 员 及 时 发 现 Web 
页 面 中 的 问题 。 

2. 启用 文档 页 肢 


在 网 站 管理 中 ， 管 理 员 经 常 在 每 一 个 Web 页 的 前 面 插入 一 个 由 HTML 语言 编写 的 文件 
作为 文档 页 脚 ， 以 增加 Web 网 站 的 内 容 ， 例 如 ， 一 个 用 HTML 语言 编写 的 文件 为 Web 页 增 
加 一 些 简 单 的 文本 和 标识 图 形 ， 甚 至 包括 个 人 网 站 管理 和 个 人 网 站 的 服务 方向 等 内 容 。 这 些 
内 容 不 但 会 大 大 增强 个 人 网 站 的 可 读 性 , 而 且 还 可 以 引导 访问 者 对 个 人 网 站 以 后 内 容 的 阅读 。 
另外 ， 网 页 页 脚 还 可 以 减少 Web 服务 器 的 执行 时 间 ， 如 果 管 理 员 的 个 人 Web 网 站 被 其 他 访 
问 者 频繁 的 访问 ， 使 用 文档 页 脚 是 非常 有 用 的 。 

启用 文档 页 脚 的 具体 操作 步骤 如 下 。 

(1) 利用 写字 板 或 记事 本 等 文本 编辑 器 创建 一 个 HTML 文件 并 将 其 保存 到 服务 器 上 作为 
文档 页 脚 。 然 后 打开 “Intemet 信息 服务 ”窗口 ， 在 控制 台 目 录 树 中 ， 在 需要 添加 页 脚 文件 的 
Web 网 站 或 目录 上 单 击 鼠 标 右 键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 在 打开 的 对 话 杠 
中 选择 “文档 ”选项 不 ， 如 图 11-19 所 示 。 


图 11-19 “文档 ”选项 卡 


(2) 在 该 选项 卡 中 选中 “启用 文档 页 脚 ” 复 选 框 ， 并 输入 或 者 选择 页 脚 文件 所 在 的 路 径 ， 
然后 单 击 “ 确 定 ”按钮 关闭 对 话 框 。 


文档 页 脚 文 件 不 是 一 个 完整 的 HIML 文档 。 一 般 情况 下 ， 它 只 包含 用 于 格式 化 页 
脚 内 容 外 观 所 需 的 那些 HTML 标签 。 例如， 对 用 于 将 公司 名 称 添 加 到 所 有 Web 页 
底部 的 页 脚 文件 ， 应 该 包含 文本 和 定义 文本 字体 ， 以 及 颜色 格式 所 必需 的 HIML 标签。 


3. 停止 、 启 动 和 暂 定 站 点 服务 


在 站 点 维护 中 ， 停 止 、 启 动 和 暂 定 站 点 服务 是 经 常 要 进行 的 工作 ， 例 如 ， 当 某 个 站 点 的 
内 容 和 设置 需要 进行 比较 大 的 修改 时 ， 管 理 员 可 将 该 站 点 的 服务 停止 或 者 暂停 以 便 操作 。 当 
已 经 停止 或 暂停 的 站 点 需要 启动 自己 的 服务 时 就 再 次 启动 它 。 如 果 要 暂停 当前 Web 的 信息 服 
务 ， 选择“ 暂停 ” 命令 即 可 ， 如 果 要 停止 当前 Web 的 信息 服务 ， 选 择 “ 停 止 ”命令 即 可 ; 如 
果 要 启动 当前 Web 的 信息 服务 ， 选 择 “ 启 动 ”命令 即 可 。 

4 设置 内 容 分 级 


创建 好 Web 网 站 之 后 , 管理 员 可 以 配置 Web 服务 器 的 内 容 分 级 功能 , 将 说 明 性 标签 嵌 
入 到 Web 页 的 HTTP 头 中 。 某 些 Web 浏览 器 (如 Microsoft Intemet Explorer 6.0 或 更 高 版 本 ) 
可 以 检测 到 这 些 内 容 标签 并 帮助 访问 者 识别 潜在 的 危险 的 Web 内 容 。 一 般 情况 下 ， 管 理 员 
的 Web 网 站 不 需要 使 用 内 容 分 级 ， 但 是 如 果 管 理 员 的 站 点 的 内 容 有 暴力 等 成 分 时 ， 就 需 
要 使 用 分 级 设置 。 

设置 内 容 分 级 的 具体 操作 步骤 如 下 。 

(1) 打开 “Intemet 信息 服务 ”窗口 , 在 控制 台 目 录 树 中 在 需要 进行 内 容 分 级 的 Web 网 站 
或 者 某 个 虚拟 目录 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,打开 其 属性 对 话 
框 并 选择 “HTTP 头 ” 选 项 卡 ， 然 后 单 击 其 中 的 “编辑 分 级 ”按钮 ， 打 开 “ 内 容 分 级 ”对 话 
框 ， 如 图 11-20 所 示 。 
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(2) 在 “分 级 ”选项 卡 的 “类 别 ” 列 表 框 中 ， 可 以 选择 “暴力 ”、“ 性 ”、“ 裸 体 ” 和 
“语言 ”(language) 4 个 类 别 中 的 一 种 。 选 择 类 别 后 分 级 滑 块 将 显示 出 来 ， 调 节 该 滑 块 可 以 改 
变 所 选 类 别 的 分 级 级 别 。 如 果 用 户 希 望 对 自己 的 电子 邮件 进行 分 级 服务 ， 可 以 在 “内 容 分 级 
人 员 的 电子 邮件 地 址 ”文本 框 中 输入 自己 的 电子 邮件 地 址 。 如 果 希 望 单独 为 分 级 服务 设置 失 
效 时 间 ， 可 单 击 “ 截 止 日 期 ”下 拉 列 表 框 的 下 三 角 按钮 ， 从 弹出 的 电子 日 历 中 选择 一 个 日 期 。 

(3) 设置 好 之 后 ， 单 击 “ 确 定 ”按钮 保存 设置 即 可 。 


5. 设置 内 容 过 期 


如 果 所 创建 的 网 站 上 有 时 效 性 很 强 的 信息 ， 管 理 员 可 以 通过 设置 来 保证 网 站 的 过 期 信息 
不 会 被 发 布 出 去 。 使 用 “HTTP 头 ”属性 对 话 框 ， 可 以 将 网 站 内 容 配 置 为 在 某 个 时 间 点 自动 
过 期 。 当 启用 内 容 截 止 日 期 后 ，Web 浏览 器 将 比较 当前 日 期 和 截止 日 期 ， 以 便 决 定 是 显示 高 
速 缓存 页 还 是 从 服务 器 请 求 更 新 的 页 。 这 样 ， 访 问 者 只 能 查看 比较 新 的 信息 ， 这 样 便于 用 
户 查找 有 用 的 信息 。 

设置 内 容 过 期 的 具体 操作 步骤 如 下 。 

(1) 打开 “Intemet 信息 服务 ”窗口 ， 在 控制 台 目录 树 中 展开 服务 器 节点 ， 在 希望 启用 过 
期 内 容 的 网 站 或 者 一 个 目录 上 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 
“属性 ”对 话 框 ， 并 选择 “HTTP 头 ” 选 项 卡 ， 如 图 11-21 所 示 。 

(2) 在 “HTTP 头 ” 选 项 卡 中 ， 选 中 “启用 内 容 过 期 ” 复 选 框 ， 在 “启用 内 容 过 期 ”选项 
区 域 中 ， 管 理 员 可 以 设置 内 容 过 期 的 时 间 。 如 果 选 择 “ 在 此 时 间 段 后 过 期 ” 单 选 按钮 ， 还 需 
在 其 右 侧 的 文本 框 中 输入 一 个 值 并 在 其 右 侧 的 下 拉 列 表 框 中 选择 一 个 时 间 单位 ; 如 果 选 中 “过 
期 时 间 ” 单 选 按钮 ， 在 其 右 侧 的 下 拉 列 表 框 中 选择 日 期 ， 并 调节 其 右 侧 的 时 间 微 调 器 的 值 ， 
管理 员 可 直接 为 过 期 内 容 设 置 过 期 时 间 。 例 如 ， 所 选择 的 时 间 是 2007 年 12 月 1 日 12:00:00， 
那么 该 站 点 目前 的 信息 将 在 2007 年 12 月 1 日 12:00:00 过 期 ， 不 能 再 被 访问 。 如 果 选 中 “ 立 
即 过 期 ” 单 选 按钮 ， 将 使 该 站 点 目前 的 信息 马上 过 期 。 
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(3) 过 期 内 容 设置 完毕 ， 单 击 “ 确 定 ” 按 钮 关闭 对 话 框 。 
11.5 ”应 用 程序 管理 


在 Windows Server 2003 中 ，IIS 的 应 用 程序 管理 功能 比 Windows 2000 强大 ， 管 理 员 不 
仅 可 以 单独 对 每 一 个 Web 网 站 进行 应 用 程序 管理 ， 此 外 ，IIS 还 提供 了 一 个 名 称 为 “应 用 程 
序 池 ” 的 功能 选项 。 通 过 它 ， 管 理 员 可 以 对 服务 器 的 所 有 应 用 程序 进行 统一 管理 ， 大 大 减少 
了 管理 员 的 应 用 程序 管理 的 难度 。 


11.5.1 创建 应 用 程序 


IIS 中 的 应 用 程序 是 在 Web 站 点 所 定义 的 一 组 目录 中 执行 的 任何 文件 。 当 创建 一 个 应 用 
程序 时 ， 可 以 在 Web 站 点 上 指定 应 用 程序 的 起 点 目录 。Web 站 点 的 起 点 目录 中 的 每 个 文件 
和 目录 均 被 认为 是 应 用 程序 的 一 部 分 ， 直 至 找到 另 一 个 起 点 目录 为 止 。 因 此 可 以 使 用 目录 边 
界 来 定义 应 用 程序 的 范围 。 

要 创建 应 用 程序 ， 首 先 应 将 目录 指定 为 应 用 程序 的 起 点 (应 用 程序 根 )， 然 后 再 为 应 用 程 
序 设 置 属性 。 每 个 应 用 程序 都 应 有 一 个 便于 记忆 的 名 称 ， 该 名 称 出 现在 Intemet 信息 服务 管 
理 器 中 ， 并 给 定 一 种 区 分 应 用 程序 的 方法 ， 而 且 该 应 用 程序 名 称 不 在 其 他 任何 地 方 使 用 。 管 
理 员 希望 对 应 用 程序 边界 下 的 目录 及 其 子 目 录 中 文件 的 请 求 不 再 启动 该 应 用 程序 ， 可 以 从 应 
用 程序 边界 删除 该 目录 。 从 应 用 程序 边界 中 删除 目录 并 不 会 从 Web 站 点 或 计算 机 硬盘 上 删 
除 该 目录 。 

创建 应 用 程序 的 具体 步骤 如 下 。 

(1) 打开 “Intemet 信息 服务 ”窗口 ， 在 控制 台 目录 树 中 选择 作为 应 用 程序 起 点 的 目录 。 
管理 员 也 可 以 将 Web 网 站 的 主 目录 指定 为 应 用 程序 起 点 。 在 选 定 的 目录 上 单 击 鼠 标 右键 , 在 
弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 该 目录 的 属性 对 话 框 ， 打 开 其 中 的 “虚拟 目录 ” 
选项 卡 ， 如 图 11-22 所 示 。 
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(2) 在 “应 用 程序 设置 ”选项 区 域 中 单 击 “ 创 建 ”按钮 ， 该 选项 区 域 中 的 所 有 选项 都 将 
被 激活 ，“ 创 建 ”按钮 变 成 “删除 ”按钮 ， 如 图 11-22 所 示 。 在 “应 用 程序 名 ”文本 框 中 ， 
输入 应 用 程序 名 称 。 
(3) 通过 “执行 权限 ”下 拉 列 表 框 可 以 为 应 用 程序 设置 权限 ， 系 统 提供 了 以 下 3 种 执行 
权限 。 
。 “无 ”: 可 以 防止 任何 程序 或 脚本 运行 。 
。“ 纯 脚本 ”: 可 以 在 无 须 设置 “执行 ”权限 的 情况 下 ， 启 用 映射 到 脚本 引擎 的 应 用 程 
序 在 该 目录 中 运行 ， 它 使 用 包含 ASP 脚本 、Intemet 数据 库 连接 器 (IDC) 脚 本 或 其 他 
脚本 所 在 目录 的 “脚本 ”权限 。“ 脚 本 ”权限 比 “ 执 行 ” 权 限 更 安全 ， 因 为 可 以 限 
制 在 该 目录 中 运行 的 应 用 程序 。 
。 “脚本 和 可 执行 程序 ”: 可 以 允许 任何 应 用 程序 在 该 目录 中 运行 ， 包 括 映射 到 脚本 引 
擎 和 Windows 二 进 制 文件 .dll 和 .exe 文件 ) 的 应 用 程序 。 
(4) 单 击 “ 确 定 ”按钮 ， 即 可 使 设置 生效 。 


要 终止 应 用 程序 并 将 其 从 内 存 中 秀 载 ， 只 需 单 击 “ 部 载 ” 按 钮 即 可 。 如 果 “ 却 载 ” 
按钮 无 效 ， 则 表明 没有 位 于 应 用 程序 的 起 始点 目录 。 要 将 主 目录 与 应 用 程序 分 离 ， 可 
以 单 击 “删除 ”按钮 


11.5.2 ”设置 应 用 程序 映射 


在 Web 网 站 中 ， 管 理 员 可 以 大 量 开发 以 编程 和 脚本 语言 写成 的 Web 应 用 程序 。 但 是 ， 
必须 进行 应 用 程序 映射 ， 使 文件 扩展 名 与 ISAPI 、CGI、ASP 和 XML 等 程序 之 间 建 立 关 联 。 
这 样 , IS 6.0 就 可 以 使 用 Web 站 点 上 请 求 资源 的 文件 扩展 名 来 确定 运行 相应 的 程序 处 理 请 求 。 
例如 ， 以 .asp 扩展 名 结束 的 文件 请 求 将 导致 Web 服务 器 调用 ASP 程序 (Asp.dll) 来 处 理 请 求 。 

设置 应 用 程序 映射 的 具体 操作 步骤 如 下 。 

(1) 在 “Internet 信息 服务 管理 器 ”窗口 中 ， 选 择 应 用 程序 的 起 始点 目录 或 站 点 ， 然 后 打 
开 该 目录 的 属性 对 话 框 ， 并 打开 其 中 的 “虚拟 目录 ”选项 卡 。 在 “应 用 程序 设置 ”选项 区 域 
中 ， 单 击 “ 配 置 ”按钮 ， 打 开 “ 应 用 程序 配置 ”对 话 框 。 在 该 对 话 框 的 “映射 ”选项 卡 中 ， 
管理 员 可 以 将 文件 扩展 名 映射 到 处 理 这 些 文件 的 程序 或 解释 器 ， 如 图 11-23 所 示 。 

(2) 该 选项 卡 的 “应 用 程序 扩展 ”列表 框 中 列 出 了 与 可 执行 文件 相关 联 的 文件 扩展 名 、 
可 执行 文件 路 径 及 动作 。 如 果 要 添加 新 的 应 用 程序 扩展 名 映射 ， 可 以 单 击 “ 添 加 ”按钮 ， 打 
开 “ 添 加 /编辑 应 用 程序 扩展 名 映射 ”对 话 框 ， 如 图 11-24 所 示 。 
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11-23 “映射 ”选项 卡 11-24 “添加 /编辑 应 用 程序 扩展 名 映射 ”对 话 杠 


在 “可 执行 文件 ”文本 框 中 ， 输 入 将 要 处 理 文件 的 程序 的 路 径 (必须 在 Web 服务 器 的 本 
地 目录 中 指定 程序 )， 或 者 通过 单 击 “ 浏 览 ”按钮 来 选择 处 理 程序 。 在 “扩展 名 ”文本 框 中 
输入 要 与 程序 相关 联 的 文件 扩展 名 。 当 服务 器 接收 到 标识 带 有 该 扩展 名 文件 的 URL 时 ， 它 
将 调用 相关 的 处 理 程序 来 处 理 该 请 求 。 

要 将 所 有 请 求 传递 到 应 用 程序 ， 需 要 在 “动作 ”选项 区 域 中 选中 “全 部 动作 ” 单 选 按钮 ; 
如 果 不 将 所 有 请 求 传递 到 应 用 程序 ， 则 选中 “限制 为 ” 单 选 按钮 ， 并 在 其 右 侧 的 文本 框 中 输 
入 目标 应 用 程序 的 HTTP 动作 ， 方 法 名 称 之 间 用 英文 逗号 (, ) 分 隔 。 

若 要 在 没有 “执行 ”权限 的 目录 中 运行 应 用 程序 ， 应 选中 “脚本 引擎 ” 复 选 框 。 此 项 设 
置 主要 用 于 基于 脚本 的 应 用 程序 ， 如 映射 到 解释 器 的 ASP 和 IDC 等 。 运 行 脚本 映射 的 应 用 
程序 时 ， 必 须 在 应 用 程序 所 在 目录 中 设置 “脚本 ”或 “执行 ”权限 。 例 如 ， 对 只 允许 运行 肢 
本 映射 的 应 用 程序 设置 “脚本 ”访问 权限 。 

如 果 选 中 “确认 文件 是 否 存在 ” 复 选 框 ， 服 务 器 将 会 验证 请 求 的 脚本 文件 是 否 存在 ， 并 
确认 发 出 请 求 的 访问 者 是 否 有 权 访问 该 脚本 文件 。 如 果 脚 本 不 存在 或 访问 者 没有 相应 的 访问 
权限 ， 浏 览 器 将 收 到 相应 的 警告 消息 ， 并 且 不 调用 脚本 引擎 。 该 选项 适用 于 映射 到 非 CGI 可 
执行 文件 的 脚本 , 这 些 非 CGI 可 执行 文件 (如 Perl 解释 器 ) 在 脚本 不 可 以 访问 时 不 会 发 送 CGI 
响应 。 

(3) 设置 完毕 后 ， 单 击 “确定 ” 按 钮 ， 返 回 到 “映射 ”选项 卡 。 在 该 选项 卡 中 ， 可 以 选 
择 文件 扩展 名 ， 然 后 单 击 “删除 ”按钮 删除 该 应 用 程序 扩展 名 映射 内 容 。 

(4) 选择 文件 扩展 名 ， 然 后 单 击 “ 编 辑 ” 按 钮 ， 可 以 对 应 用 程序 扩展 名 映射 内 容 进 行 修 
改 。 最 后 单 击 “ 应 用 ”按钮 即 可 应 用 设置 。 
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11.5.3 ”创建 和 管理 应 用 程序 池 


随 着 Intermet 信息 服务 器 中 的 Web 网 站 和 虚拟 目录 的 增多 , 其 中 的 应 用 程序 也 必然 增多 ， 
从 而 使 管理 员 的 应 用 程序 管理 变 得 非常 复杂 。 为 了 解决 这 个 问题 ，Windows Server 2003 中 的 
IIS 提供 了 “应 用 程序 池 ” 的 管理 工具 ， 通 过 它 ， 管 理 员 可 以 将 需要 管理 的 应 用 程序 集中 到 一 
起 进行 管理 ， 以 减少 应 用 程序 的 管理 难度 。 

1. 创建 应 用 程序 池 

要 统一 管理 应 用 程序 ， 首 先 必须 创建 应 用 程序 池 。 默 认 情况 下 ，IIS 在 安装 时 会 自动 创 
建 名 称 为 DefaultAppPool 和 PBSAppPool 的 应 用 程序 池 , 并 将 Internet 信息 服务 器 中 的 所 有 应 
用 程序 放置 在 这 些 应 用 程序 池 中 。 管理 员 也 可 以 创建 多 个 应 用 程序 池 , 然后 分 类 对 应 用 程 
序 池 进 行 管理 。 

创建 应 用 程序 池 的 具体 操作 步骤 如 下 。 

(1) 打开 “Intemet 信息 服务 ”窗口 ， 在 控制 台 目 录 树 中 的 “应 用 程序 池 ” 节 点 上 单 击 鼠 
标 右键 ,在 弹出 的 快捷 菜单 中 选择 “新 建 ”|“ 应 用 程序 池 ” 命 令 ， 打开“ 添加 新 应 用 程序 池 ” 
对 话 框 ， 如 图 11-25 所 示 。 


应 用 程序 池 ID GD): FE 
甩 用 粮 序 池 设 置 
“对 新 的 应 用 程序 池 使 用 默认 设置 Q) 
个 将 现 有 应 用 程序 池 作 为 模板 他 ) 
ms |_www | 
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(2) 在 “应 用 程序 池 ID” 文 本 框 中 输入 应 用 程序 在 Internet 信息 服务 器 中 的 管理 次 序 。 
如 果 要 对 该 应 用 程序 池 设 置 使 用 默认 的 设置 , 就 在 “应 用 程序 池 设 置 ”选项 区 域 中 , 选中 “对 
新 的 应 用 程序 池 使 用 默认 设置 ” 单 选 按钮 ， 也 可 以 将 现 有 的 应 用 程序 池 作 为 模板 。 

(3) 单 击 “ 确 定 ” 按 钮 ， 即 可 完成 应 用 程序 池 的 创建 。 

2. 设置 应 用 程序 池 属 性 

通过 对 应 用 程序 池 属 性 的 设置 ， 管 理 员 可 以 对 应 用 程序 池 的 进程 回收 、 性 能 、 运 行 状 况 
和 标识 等 进行 详细 的 设置 。 选 择 要 设置 属性 的 应 用 程序 池 ， 例 如 ， 在 DefaultAppPool 节点 单 
击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,打开 “DefaultAppPool 属性 ”对 话 框 ， 
如 图 11-26 所 示 。 
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11-26 “DefaultAppPool 属性 ”对 话 框 
在 “回收 ”、“ 性 能 ”、“ 运 行 状况 ”和 “标识 ”选项 卡 中 ， 系 统管 理 员 可 以 分 别 对 应 
用 程序 池 的 进程 回收 、 队列 和 CPU 的 性 能 、 运行 状况 、 应 用 程序 池 的 安全 帐户 调试 进行 设置 。 
人 人/ 车 
和 霖 
在 需要 操作 的 应 用 程序 池 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 所 需 命令 ， 通 
过 这 些 命令 ， 管 理 员 可 以 对 应 用 程序 池 进 行 各 种 管理 操作 。 例 如 ， 选 择 “ 停 止 ”命令 ， 
可 以 停止 应 用 程序 池 的 工作 状态 。 


11.5.4 配置 ASP 应 用 程序 


IIS 6.0 允许 管理 员 为 安装 在 服务 器 上 的 每 个 ASP 应 用 程序 设置 属性 , 例如， 可 以 在 应 用 
程序 中 打开 会 话 状态 或 设置 默认 脚本 语言 。 应 用 程序 的 属性 将 被 应 用 于 该 应 用 程序 中 的 所 有 
ASP 页 面 ， 除 非 在 某 个 单独 页 面 中 直接 覆盖 该 属性 。 

配置 ASP 应 用 程序 的 具体 操作 步骤 如 下 。 

(1) 在 “Intemet 信息 服务 ”窗口 中 ， 选 择 应 用 程序 的 起 始点 目录 ， 然 后 打开 站 点 或 者 目 
录 的 属性 对 话 框 。 在 该 对 话 框 的 “虚拟 目录 ”选项 卡 的 “应 用 程序 设置 选项 区 域 中 , 单 击 “ 配 
置 ”按钮 ， 打 开 “ 应 用 程序 配置 ”对 话 框 ， 然 后 选择 “选项 ”选项 卡 ， 如 图 11-27 所 示 。 
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(2) 选中 “启用 会 话 状态 ” 复 选 框 ， 可 以 启用 或 禁用 会 话 状况 。 当 启用 会 话 状态 时 ，ASP 
将 为 每 个 访问 ASP 应 用 程序 的 访问 者 创建 一 个 会 话 , 以 便 标识 访问 应 用 程序 中 不 同 页 面 的 访 
问 者 。 当 禁用 会 话 状态 时 ，ASP 无 法 跟踪 访问 者 ， 也 不 允许 ASP 脚本 在 会 话 对 象 中 存储 信 
息 或 使 用 Session OnStart 或 Session OnEnd 事件 。 如 果 超 时 期 间 结束 时 访问 者 没有 请 求 或 刷 
新 应 用 程序 中 的 页 面 ， 会 话 将 自动 结束 。 要 更 改 超时 时 间 ， 可 以 在 “会 话 超时 ”文本 微调 框 中 
进行 设置 。 

(3) 选中 “启用 缓冲 ” 复 选 框 ， 可 以 对 输出 到 浏览 器 的 内 容 进行 缓冲 。 启 用 该 复 选 框 时 ， 
先 将 所 有 由 ASP 页 面 生成 的 输出 收集 到 一 起 ， 然 后 再 发 送 到 浏览 器 。 取 消 该 复 选 框 的 选中 
时 ,页 面 处 理 的 输出 内 容 随 时 返回 到 浏览 器 .缓冲 输入 允许 在 ASP 脚本 的 任何 位 置 设置 HTTP 
头 。 可 以 使 用 Response.Buffer 方法 在 脚本 中 覆盖 该 选项 。 

(4) 选中 “启用 父 路 径 ” 复 选 框 ， 系 统 将 允许 ASP 使 用 当前 目录 中 父 目 录 的 相对 路 径 。 
在 选中 该 复 选 框 时 不 要 授予 父 目录 “执行 ”权限 ， 否 则 ， 脚 本 可 能 会 试图 运行 父 目 录 中 未 授 
权 的 程序 。 

(5) 在 “默认 ASP 语言 ”文本 框 中 可 以 指定 ASP 的 首要 脚本 语言 , 该 语言 用 来 处 理 ASP 
分 隔 符 内 (<% 和 %>) 的 命令 。 要 为 所 选 应 用 程序 中 所 有 页 面 选 择 其 他 首要 脚本 语言 , 可 以 在 该 
文本 框 中 输入 语言 名 称 ， 如 VBScript、Jscript 等 。“ 默 认 ASP 语言 ”的 初始 值 为 VBScript。 
管理 员 可 以 指定 任何 语言 名 称 ,但 服务 器 中 必须 已 经 安装 该 语言 的 ActiveX 脚 本 引擎 .在 “ASP 
脚本 超时 ”文本 微调 框 中 可 以 指定 ASP 允许 脚本 运行 的 时 间 长 度 。 如 果 在 超时 期 间 结束 时 脚 
本 没有 完成 ，ASP 将 停止 脚本 并 向 Windows 事件 日 志 中 写 入 事件 。 超 时 期 间 可 以 是 介 于 1~2 
147 483 647 之 间 的 值 。 

(6) 单 击 “ 应 用 ”按钮 ， 即 可 应 用 设置 。 
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11.5.5 启用 ASP 调试 


IIS 允许 管理 员 使 用 Microsoft 脚本 调试 程序 在 ASP 脚本 中 查找 错误 ， 这 种 ASP 调试 包 
括 服务 器 端 脚本 调试 和 客户 端 脚本 调试 。 但 是 ， 要 在 服务 器 上 使 用 调试 程序 ， 必 须 配置 服务 
器 以 便 进行 调试 ， 因 为 系统 在 默认 情况 下 不 启用 ASP 调试 。 

启用 ASP 调试 的 操作 步骤 如 下 。 

(1) 在 “Intemet 信息 服务 ”窗口 中 ， 选 择 应 用 程序 的 起 始点 目录 ， 然 后 打开 站 点 或 者 目 
录 的 属性 对 话 框 。 在 “应 用 程序 设置 ”选项 区 域 中 ， 单 击 “ 配 置 ”按钮 ， 打 开 “ 应 用 程序 配 
置 ”对 话 框 ， 然 后 打开 “调试 ”选项 卡 ， 如 图 11-28 所 示 。 
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(2) 要 启用 ASP 服务 器 端 调 试 ， 应 选中 “启用 ASP 服务 器 端 脚本 调试 ” 复 选 框 。 当 脚本 
产生 错误 或 ASP 在 脚本 中 遇 到 断 点 时 ， 服 务 器 将 调 入 Microsof 脚本 调试 器 ， 随 后 即 可 使 用 
调试 器 检查 脚本 。 但 是 ， 启 用 ASP 服务 器 端 调试 将 导致 ASP 在 单一 线程 模式 运行 。 

(3) 在 “脚本 错误 的 错误 消息 ”选项 区 域 中 ,选中 “向 客户 端 发 送 详细 的 ASP 错误 消息 ” 
单 选 按 钮 ， 可 以 发 送 特定 的 调试 信息 (包括 文件 名 、 错误 消 息 和 行 号 ) 到 浏览 器 。 如果 选中 “向 
客户 端 传 送 下 列 文本 错误 消息 ” 单 选 按钮 并 在 下 方 的 文本 框 中 输入 默认 的 错误 信息 ,那么 ， 
当 任 何 错误 阻止 服务 器 处 理 ASP 脚本 时 ， 系 统 将 发 送 默 认错 误 消息 到 浏览 器 。 

(4) 单 击 “确定 ”按钮 保存 并 应 用 设置 。 


11.6 ”Web 接口 管理 


Web 管理 接口 (Web Management Interface) 在 Windows Server 2003 中 是 一 项 非常 值得 网 络 
用 户 使 用 的 功能 ， 这 项 功能 的 主要 目的 是 为 了 向 一 些 有 权限 的 网 络 用 户 在 无 法 进行 本 机 维护 
时 ， 提 供 远程 的 Web 管理 接口 服务 。 下 面 对 4 项 常见 的 Web 接口 管理 服务 进行 简单 的 介绍 。 


11.6.1 打印 服务 器 的 Web 接口 


打印 服务 器 是 Windows Server 2003 服务 器 中 的 一 种 ， 它 是 实现 资源 共享 的 重要 组 成 部 
分 。 在 Windows Server 2003 中 ， 如 果 打 印 服务 器 安装 了 IS 服务 器 ， 则 拥有 权限 的 网 络 用 户 
就 可 以 通过 正 等 浏览 器 来 管理 打印 服务 器 , 域 中 的 用 户 也 可 以 通过 浏览 器 来 安装 打印 机 、 管 
理 自己 打印 的 文档 等 。 这 种 方便 的 管理 模式 就 是 “打印 机 服务 器 Web 接口 管理 方式 ”。 其 实 
现 的 过 程 如 下 。 

(1) 首先 ， 安 装 IS 6.0 和 相关 的 远程 管理 组 件 。 单 击 “ 开 始 ” 按 钮 ， 选 择 “控制 面板 ”| 
“添加 /删除 程序 ”命令 ， 在 打开 的 “添加 或 删除 程序 ”窗口 中 单 击 “ 添 加 /删除 Windows 组 
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件 ” 按钮 ， 接 着 在 弹出 的 “Windows 组 件 向 导 ” 窗 口中 选择 “应 用 程序 服务 器 ”选项 。 

(2) 双击 “应 用 程序 服务 器 ”后 ， 在 弹出 的 窗口 中 选中 “Intemet 信息 服务 (IS)” 复 选 框 。 
因为 要 设置 打印 机 服务 器 可 以 使 用 Web 接口 方式 的 管理 ， 所 以 还 需要 接着 单 击 “ 详 细 信息 ” 
按钮 。 在 弹出 的 窗口 中 选中 “Intemet 打印 ” 复 选 框 ， 才 能 实现 Web 打印 及 管理 打印 机 ， 如 
图 11-29 所 示 。 
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(3) 在 组 件 安装 完毕 后 ， 即 可 在 局 域 网 中 的 任何 一 台 计 算 机 上 输入 “http:// 打 印 服 务 器 名 
称 /printers/”( 如 http://192.168.0.11/printers)、 进 入 打印 机 服务 器 的 Web 接口 管理 页 面 。 在 该 
页 面 中 可 以 看 到 这 台 服 务 器 上 的 所 有 打印 机 及 其 状态 。 


11.6.2 流 媒 体 服务 器 的 Web 接口 


在 Windows Server 2003 中 ， 架 设 既 支 持 网 络 广播 又 可 进行 视频 点 播 的 Windows Media 
流 媒体 服务 器 是 一 件 很 容易 的 事情 ， 而 且 同 样 可 以 通过 Web 接口 来 管理 流 媒体 服务 器 。 

在 “Windows 组 件 向 导 ” 窗 口中 选中 “Windows Media Services” 复 选 框 ， 并 打开 该 选项 
的 详细 设置 窗口 ， 选 中 “用 于 Web 的 Windows Media Services 管理 器 ” 复 选 框 ， 如 图 11-30 
所 示 。 从 弹出 的 “Windows Media Services 安装 警告 ”提示 对 话 框 中 可 以 看 到 ， 当 前 选中 的 
组 件 需要 IIS 6.0 的 支持 。 此 时 单 击 “ 确 定 ”按钮 ，IS 6.0 组 件 将 被 自动 选中 。 
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在 上 述 组 件 安装 完毕 后 ， 即 可 在 远程 计算 机 上 的 正 浏览 器 地 址 栏 中 输入 “http:// 流 媒体 
服务 器 人 P 地 址 :8080”， 如 http://192.168.0.11:8080/default.asp， 来 使 用 Web 接口 管理 流 媒体 
服务 器 。 输 入 网 址 并 按 回 车 键 后 ， 即 可 看 到 Windows Media Services 的 Web 接口 管理 页 面 。 


11.6.3 ”终端 服务 器 的 Web 接口 


终端 服务 器 是 一 种 允许 有 权限 的 远程 网 络 用 户 ， 通 过 桌面 界面 登录 的 方式 对 服务 器 进行 
管理 的 服务 。 一 般 来 说 ， 都 是 通过 “远程 桌面 连接 ”功能 实现 客户 端 与 终端 服务 器 之 间 的 连接 。 

在 Windows Server 2003 中 , 用 户 只 要 让 终端 服务 器 搭配 IS 服务 器 ， 就 可 以 在 客户 端 通 
过 使 用 正 浏览 器 (4.0 以 上 版 本 ) 完 成 与 终端 服务 器 的 连接 、 登 录 与 管理 操作 。 这 项 功能 就 是 
下 面 将 要 介绍 的 “远程 桌面 Web 连接 ”功能 。 它 的 主要 目的 就 是 使 管理 员 不 必 在 每 台 计 算 机 
上 都 安装 “远程 桌面 连接 ”程序 ， 就 可 以 通过 Web 接口 (浏览 器 ) 来 连接 终端 服务 器 。 

首先 安装 IS 6.0， 并 在 安装 的 过 程 中 双击 “Intemet 信息 服务 (IIS)” 选 项 ， 在 打开 的 窗口 
中 选中 “万 维 网 服务 ” 复 选 框 。 接 着 双击 “万 维 网 服务 ”选项 ， 在 弹出 的 窗口 中 选中 “远程 
桌面 Web 连接 ” 复 选 框 后 ， 如 图 11-31 所 示 ， 系 统 开始 安装 选中 的 组 件 。 

在 安装 该 组 件 后 ， 可 以 在 远程 计算 机 的 正 地 址 栏 中 输入 “http:// 服 务 器 人 P 地 址 或 名 称 
/tsWeb/”， 如 http://192.168.0.11/tsWeb/， 访 问 终端 服务 器 。 在 “远程 桌面 Web 连接 ”页 面 中 
输入 服务 器 的 人 地 址 并 设置 好 分 辩 率 大 小 后 ， 单 击 “ 连 接 ” 按 钮 即 可 登录 到 终端 服务 器 的 登 
录 界 面 。 输 入 正确 的 用 户 名 和 密码 即 可 登录 到 该 服务 器 。 


站 同 在 服务 器 端的 包含 文 御 
擅 夫 管理 终 亲 服务 震 户 端 we 连 按 的 Activer 控件 和 范例 页 面 
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11-31 ”远程 桌面 Web 连接 


如 果 出 现 无 法 连接 到 终端 服务 器 的 情况 ， 请 确认 终端 服务 器 的 远程 桌面 功能 是 否 
激活 ， 即 在 “我 的 电脑 ”上 单 击 息 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 
在 打开 的 属性 窗口 的 “远程 ”选项 卡 中 设置 界面 ， 选 中 “允许 用 户 远程 连接 这 台 计 算 
机 ” 复 选 框 即 可 。 


后) 基山 乱 理 上 


11.6.4 ”远程 维护 Web 接口 


远程 维护 功能 是 一 项 非常 重要 的 功能 , 它 可 以 帮助 网 络 管理 员 通 过 Web 接口 来 完成 服务 
器 的 多 个 具体 服务 项 目的 管理 维护 操作 ， 也 就 是 远程 进入 IS 6.0 Web 接口 管理 页 面 。 

在 “Windows 组 件 向 导 ” 窗 口中 依次 选择 “应 用 程序 服务 器 ”|“Intemet 信息 服务 (TS)” 
| “万 维 网 服务 ”选项 ， 并 在 “万 维 网 服务 ”中 选中 “远程 管理 (HTML)” 复 选 框 ， 最 后 单 击 
“确定 ”按钮 进行 组 件 的 安装 。 如 图 11-32 所 示 。 
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11-32 ”安装 远程 维护 功能 


在 完成 上 述 操作 后 ， 即 可 在 局 域 网 中 输入 “https:// 服 务 器 名 称 或 IP 地 址 :8098” 这 样 的 地 
址 (在 远程 计算 机 中 只 能 输入 “https:// 服 务 器 他 地 址 :8098”) 来 访问 Windows Server 2003 的 
IIS 6.0 的 Web 接口 管理 页 面 。 

在 该 页 面 中 可 以 查看 或 配置 服务 器 的 运行 日 志文 件 、 网 站 人 P 地 址 、DNS 后 级 、 域 。 此 
外 ， 还 能 够 创建 、 编 辑 、 删 除 服务 器 上 的 用 户 和 组 名 单 ， 甚 至 可 以 远程 重新 启动 服务 器 或 关 
闭 服务 器 。 

Windows Server 2003 的 Web 接口 管理 功能 很 强大 ， 但 是 ，Web 接口 管理 会 因 用 户 的 管 
理 不 妥当 出 现 不 同等 级 的 安全 隐患 ， 所 以 在 使 用 该 功能 时 要 谨慎 。 


NE 上 


FTP 服 务 辟 的 配置 和 管理 


FTP 服务 是 一 个 非常 有 用 的 Internet 服务 ， 它 允许 任何 位 置 上 的 
访问 者 下 载 服务 器 上 的 指定 文件 ， 例 如 ， 人 允许 访问 者 下 载 最 新 的 驱动 
程序 等 。 如 果 服 务 器 上 提供 了 可 写 的 磁盘 空间 ， 它 还 允许 访问 者 将 自 
己 的 文件 上 传 到 服务 器 中 ， 例 如 ， 如 果 服 务 器 提供 了 主页 空间 ， 访 问 
者 就 可 以 将 个 人 Web 文件 上 传 到 主页 空间 ,实现 Web 的 Internet 发 布 。 

FTP 服务 的 提供 也 是 通过 站 点 的 方式 实现 的 ， 管 理 员 选择 或 者 创 
建 一 个 所 需 的 FTP 站 点 ,并 设置 它 的 主 目录 和 虚拟 目录 ， 然 后 再 进行 
一 些 简单 的 操作 即 可 完成 FTP 服务 的 创建 和 管理 。 
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12.1.1 什么 是 FTP 协议 


FTP 即 文件 传输 协议 ， 全 称 是 File Transfer Protocol， 顾 名 思 义 ， 它 是 专门 用 来 传输 文件 
的 协议 。 它 支持 的 FTP 功能 是 网 络 中 最 重要 、 用 途 最 广泛 的 服务 之 一 ， 实 现 了 服务 器 和 客户 
机 之 间 的 文件 传输 和 资源 再 分 配 ， 是 普遍 采用 的 资源 共享 方式 之 一 。 该 协议 定义 的 是 一 个 在 
远程 计算 机 系统 和 本 地 计算 机 系统 之 间 传 输 文件 的 标准 ， 是 mternet 文件 传送 的 基础 。 

FTP 是 TCP/IP 的 一 种 具体 应 用 ， 它 工作 在 OSI 模型 的 第 七 层 、TCP 模型 的 第 四 层 ， 即 
应 用 层 ， 它 使 用 TCP 传输 而 不 是 UDP， 这 样 FTP 客户 在 和 服务 器 建立 连接 前 就 要 经 过 一 个 
“三 次 握手 ”的 过 程 , 它 的 意义 在 于 客户 与 服务 器 之 间 的 连接 是 可 靠 的 , 而 且 是 面向 连接 的 ， 
为 数据 的 传输 提供 了 可 靠 的 保证 。 另 外 ，FTP 服务 还 有 一 个 非常 重要 的 特点 是 它 可 以 独立 于 
平台 ， 也 就 是 说 在 UNIX、Linux 和 Windows 等 操作 系统 中 都 可 以 实现 FTP 的 客户 端 和 服务 
器 ， 相 互 之 间 可 以 跨 平台 进行 文件 传送 。 

FTP 由 一 系列 的 规格 说 明文 档 组 成 ， 目 标 是 提高 文件 的 共享 性 ， 提 供 非 直接 使 用 远程 计 
算 机 文件 的 方法 ， 使 存储 介质 对 用 户 透 明和 可 靠 高 效 地 传送 数据 。 简 单 而 言 ，FTP 就 是 完成 
两 台 计算 机 之 间 的 复制 , 从 远程 计算 机 复制 文件 至 本 地 的 计算 机 上 , 称 之 为 “下 载 (download)” 
文件 。 若 将 文件 从 本 地 计算 机 中 复制 至 远程 计算 机 上 ， 则 称 之 为 “上 传 (upload)” 文 件 。 在 
TCP/P 协议 中 ，FTP 标准 命令 TCP 端口 号 为 21。 

与 大 多 数 Internet 服务 一 样 ，FTP 也 是 采用 客户 机 /服务 器 模式 。 用 户 通 过 一 个 客户 机 程 
序 连接 到 远程 计算 机 上 运行 的 服务 器 程序 。 依 照 FTP 协议 提供 服务 ,进行 文件 传送 的 计算 机 
就 是 FTP 服务 器 ;而 连接 到 FTP 服务器， 并 使 用 FTP 协议 与 FTP 服务 器 进行 文件 传送 的 计 
算 机 就 是 FTP 客户 端 。 


12.1.2 FTP 的 工作 原理 


文件 传送 协议 FTP 只 提供 文件 传送 的 一 些 基本 的 服务 ， 它 使 用 TCP 可 靠 的 运输 服务 。 
FTP 的 主要 功能 是 减少 或 消除 在 不 同 操作 系统 下 处 理 文件 的 不 兼容 性 。 

一 个 FTP 服务 器 进程 可 同时 为 多 个 客户 进程 提供 服务 。 FTP 的 服务 器 进程 由 两 大 部 分 组 
成 : 一 个 是 主 进程 ， 负 责 接 受 新 的 请 求 ， 另 外 有 若干 个 从 属 进程 ， 负 责 处 理 单个 请 求 。 主 进 
程 工作 步骤 如 下 。 

(1) 打开 熟知 端口 (端口 号 为 20)， 使 客户 进程 能 连接 上 。 


(2) 等 待 客户 进程 发 起 连接 建立 请 求 。 

(3) 启动 从 属 进程 来 处 理 客户 进程 发 来 的 请 求 。 从 属 进程 对 客户 进程 的 请 求 处 理 完毕 后 
即 终止 ， 但 从 属 进 程 在 运行 期 间 根据 需要 还 可 能 创建 其 他 一 些 子 进程 。 

(4) 回 到 等 待 状态 ， 继 续 接受 其 他 客户 进程 发 来 的 请 求 。 主 进程 与 从 属 进程 的 处 理 是 并 
发 地 进行 的 。 

在 进行 文件 传输 时 ,FTP 的 客户 和 服务 器 之 间 要 建立 两 个 连接 一 一 控制 连接 和 数据 连接 。 

控制 连接 发 起 方 是 FTP 客户 ， 数 据 连接 发 起 方 是 FTP 服务 器 。 客 户 发 起 连接 建立 时 ， 
首先 寻找 服务 器 进程 的 熟知 端口 (端口 21)， 同 时 告诉 服务 器 进程 自己 的 一 个 端口 号 码 ， 用 于 
建立 连接 ， 连 接 建立 时 ， 控 制 进程 和 控制 连接 随 之 创建 。 控 制 进程 在 接收 到 FTP 客户 发 送 过 
来 的 文件 传输 请 求 后 就 创建 数据 传输 进程 和 数据 连接 。 服务 器 进程 用 传输 数据 的 熟知 端口 ( 端 
口 20) 与 客户 进程 所 提供 的 端口 号 尽力 数据 传输 简介 。 由 于 FTP 使 用 了 两 个 不 同 的 端口 号 ， 
所 以 数据 连接 与 控制 连接 不 会 发 生 混 乱 。 


12.1.3 FTP 用 户 授权 


要 使 用 FTP 服务 器 ， 必 须要 拥有 该 FTP 服务 器 的 授权 帐号 ， 也 就 是 说 只 有 在 有 了 一 个 
用 户 标识 和 一 个 口令 后 才能 登陆 到 FTP 服务器, 享受 FTP 服务 器 提供 的 服务 .FTP 地 址 如 下 : 


ftp:// 用 户 名 : 密码 @FTP 服务 器 人 P 或 域名 : FTP 命令 端口 /路 径 /文件 名 
上 面 的 参数 除了 FTP 服务 器 人 P( 或 域名 ) 为 必要 项 外 ， 其 他 项 都 是 可 选项 。 


12.1.4 ”FTP 的 传输 模式 


FTP 协议 的 任务 是 从 一 台 计 算 机 将 文件 传送 到 另 一 台 计 算 机 ， 它 与 这 两 台 计算 机 所 处 的 
位 置 、 连 接 的 方式 、 是 否 使 用 相同 的 操作 系统 无 关 。 假设 两 台 计算 机 通过 FTP 协议 进行 对 话 ， 
并 且 能 访问 Intemet， 可 以 用 FTP 命令 来 传输 文件 。 每 种 操作 系统 在 使 用 上 有 一 些 细微 差别 ， 
但 是 每 种 协议 基本 的 命令 结构 是 相同 的 。 

FTP 的 传输 有 两 种 模式 : 一 种 是 ASCII 传输 模式 ， 另 一 种 是 二 进 制 数据 传输 模式 。 

(1) ASCII 传输 模式 。 假 定 用 户 正在 复制 的 文件 包含 简单 ASCII 码 文本 , 如 果 在 远程 机 器 
上 运行 的 不 是 UNIX， 当 文件 传输 时 FTP 通常 会 自动 调整 文件 的 内 容 以 便于 把 文件 解释 成 另 
外 那 台 计算 机 存储 文本 文件 的 格式 。 

(2) 二 进 制 传输 模式 。 在 二 进 制 传输 中 ， 保 存 文件 的 位 序 ， 以 便 原 始 的 和 复制 的 是 逐 
位 一 一 对 应 的 ， 即 使 目的 地 机 器 上 包含 位 序列 的 文件 是 没有 意义 的 。 
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12.1.5 ”FTP 的 使 用 方法 


FTP 是 以 客户 机 /服务 器 模式 工作 的 ， 即 通过 FTP 客户 端 使 用 FTP 服务 。 在 客户 端 ， 使 
用 FTP 服务 通常 有 两 种 方式 ， 即 命令 交互 方式 和 客户 工具 软件 方式 。 

(1) FTP 交互 方式 

当 用 户 交 互 使 用 FTP 时 ，FTP 发 出 一 个 提示 ， 用 户 输入 一 条 命令 ,FTP 执行 该 命令 并 发 
出 下 一 提示 。FTP 允许 文件 沿 任意 方向 传输 ， 即 文件 可 以 上 传 与 下 载 ， 在 交互 方式 下 ， 也 提 
供 了 相应 的 文件 上 传 与 下 载 的 命令 。 如 前 所 述 ，FTP 有 文本 方式 与 二 进 制 方式 两 种 文件 传输 
类 型 ， 所 以 用 户 在 进行 文件 传输 之 前 ， 还 要 选择 相应 的 传输 类 型 ， 若 远程 计算 机 文本 所 使 用 
的 字符 集 是 ASCI， 用 户 可 以 用 ASCII 命令 来 指定 文本 方式 传输 ， 所 有 非 文 本 文件 如 声音 前 
辑 或 者 图 像 等 都 必须 用 二 进 制 方式 传输 ， 用 户 输入 “binary” 命 令 可 将 FTP 置 成 二 进 制 模式 。 
在 命令 提示 符 下 ， 键 入 “FTP”， 进 入 FTP 交互 方式 ， 出 现 “>” 提 示 符 ， 输 入 相应 FTP 命 
令 进 行 操作 。 

FTP 交互 方式 中 常用 命令 说 明 。 在 FTP 的 命令 交互 方式 中 ， 所 有 的 命令 需 在 “>” 提 示 
符 后 面 输入 ， 常 用 命令 有 以 下 几 种 。 

e help: 显示 命令 帮助 信息 。 

e ”open 服务 器 全 地 址 ， 与 FTP 服务 器 建立 连接 。 

e ascii: 设置 传输 类 型 为 ASCII。 

e binary: 设置 传输 类 型 为 BINARY。 

e ls: 列 出 服务 器 端 当前 目录 下 的 所 有 文件 和 目录 。 

e cd 目录 名 : 进入 服务 器 端 相 应 子 目 录 。 

eget 服务 器 端 文件 名 本 地 文件 路 径 名 : 将 服务 器 端 文件 下 载 到 本 地 。 

e put 本 地 文件 路 径 名 : 将 本 地 文件 上 传 至 服务 器 端 。 

e@ close: 关闭 与 FTP 服务 器 的 连接 。 

e quit: 退出 FTP 交互 方式 。 

(2) 客户 工具 软件 

由 于 FTP 的 命令 交互 方式 在 使 用 时 对 用 户 有 较 高 的 要 求 , 所 以 有 许多 工具 软件 被 开发 出 
来 用 于 实现 FTP 的 客户 端 功能 ， 如 CuteFTP、FlashFXP、LeafFTP 等 ， 另 外 Internet Explorer 
也 提供 了 FTP 客户 软件 的 功能 。 这 些 软 件 的 共同 特点 是 采用 直观 的 图 形 界面 来 方便 用 户 使 用 
FTP 服务 。 另 外 ,大 部 分 的 FTP 工具 软件 还 实现 了 文件 传输 过 程 中 的 断 点 续 传 和 多 路 传输 功能 。 


12.2 ”创建 和 管理 FTP 站 点 


12.2.1 创建 FTP 站 点 


前 面 已 经 介绍 过 ， 在 安装 IS 6.0 时 ， 系 统 会 自动 创建 一 个 名 称 为 “默认 FTP 站 点 ”的 
FTP 站 点 , 管理 员 通 过 它 即 可 进行 FTP 服务 的 创建 。 但 每 一 个 FTP 站 点 在 内 容 上 都 要 求 有 一 
个 主题 ， 以 便 其 他 访问 者 快速 进行 信息 查找 。 如 果 有 多 个 主题 的 信息 文件 需要 在 Intemet 上 
发 布 ， 应 该 在 服务 器 上 创建 多 个 FTP 站 点 ， 分 别 进行 信息 服务 。 

创建 FTP 站 点 的 操作 步骤 如 下 。 

(1) 选择 “开始 ” |“ 管理 工具 ”|“Intemet 信息 服务 器 ”命令 ， 打 开 “Intemet 信息 服务 ” 
窗口 。 在 Intemet 服务 管理 器 窗口 的 控制 台 目 录 树 中 的 “FTP 站 点 ”节点 上 单 击 鼠 标 右键 ， 
在 弹出 的 快捷 菜单 中 选择 “新 建 ”|“FTP 站 点 ”命令 ， 打 开 “FTP 站 点 创建 向 导 ” 对 话 框 ， 
如 图 12-1 所 示 。 

(2) 单 击 “ 下 一 步 ”按钮 ， 可 打开 “FTP 站 点 描述 ”对 话 框 ， 在 “描述 ”文本 框 中 输入 
站 点 的 说 明 ， 如 图 12-2 所 示 。 
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(3) 单 击 “ 下 一 步 ” 按 钮 ， 将 打开 “IP 地 址 和 端口 设置 ”对 话 框 ， 在 “输入 此 FTP 站 点 
使 用 的 他 地 址 ”组 合 框 中 选择 或 直接 输入 人 P 地 址 ; 在 “输入 此 FTP 站 点 的 TCP 端口 ”文本 
框 中 输入 TCP 端口 值 ， 其 默认 值 为 21， 如 图 12-3 所 示 。 

(4) 单 击 “ 下 一 步 ”按钮 ， 将 会 打开 “FTP 用 户 隔 离 ” 对 话 框 ， 通 过 选择 是 否 隔离 用 户 
以 限制 不 同 的 用 户 访问 此 FTP 站 点 上 其 他 用 户 的 FTP 主 目录 ， 如 图 12-4 所 示 。 


图 12-3 设置 IP 地址 和 端口 图 12-4 “FTP 用 户 隔 离 ” 对 话 框 


(5) 单 击 “ 下 一 步 ”按钮 ， 将 打开 “FTP 站 点 主 目录 ”对 话 框 ， 在 “路 径 ” 文 本 框 中 输 
入 主 目录 的 路 径 ， 或 者 通过 单 击 “ 浏 览 ” 按 钮 选择 路 径 ， 如 图 12-5 所 示 。 

(6) 单 击 “下 一 步 ”按钮 ， 将 会 打开 “FTP 站 点 访问 权限 ”对 话 框 ， 在 “允许 下 列 权限 ” 
选项 区 域 中 设置 主 目录 的 访问 权限 。 如 果 选 中 “ 读 取 ” 复 选 框 ， 则 只 赋予 访 问 者 读 取 权限 ; 
如 果 选 中 “ 写 入 ” 复 选 框 ， 则 赋予 访问 者 修改 权限 一 般 情况 下 都 不 选中 “ 写 入 ” 复 选 框 ， 
不 赋予 访问 者 修改 权限 ， 如 图 12-6 所 示 。 


TP 站 点 主 目 录 
| 主 目录 星 FTP 内 容 子 目录 的 要 目录 ， 


图 12-5 设置 主 目录 图 12-6 “FTP 站 点 访问 权限 ”对 话 框 


(7) 单 击 “ 下 一 步 ”按钮 ,打开 “已 成 功 完 成 FTP 站 点 创建 向 导 ” 对 话 框 ， 单 击 “ 完 成 ” 
按钮 ， 即 可 完成 FTP 站 点 的 创建 。 


12.2.2 设置 FTP 站 点 的 主 目录 


在 FTP 站 点 中 ， 管 理 员 也 需要 设置 主 目录 ， 主 目录 的 作用 同 Web 网 站 一 样 ， 不 需要 访 
问 者 输入 即 可 确定 。 在 创建 FTP 站 点 时 ， 管 理 员 已 经 指定 了 一 个 主 目录 ， 另 外 将 允许 下 载 的 
文件 复制 到 该 目录 中 即 可 。 但 是 ， 如 果 管 理 员 所 需要 的 文件 都 处 在 某 一 个 目录 中 ， 修 改 主 目 
录 的 路 径 要 比 复制 文件 要 方便 得 多 。 


设置 FTP 站 点 主 目录 的 操作 步骤 如 下 。 

(1) 打开 “Intemet 信息 服务 ”窗口 ， 在 控制 台 目 录 树 中 需要 修改 主 目录 的 FTP 站 点 上 单 
击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 其 属性 对 话 框 ， 选 择 “ 主 目录 ” 
选项 卡 。 如 果 主 目录 在 服务 器 上 ， 则 选中 “此 计算 机 上 的 目录 ” 单 选 按钮 ;如 果 主 目录 在 其 
他 网 络 计算 机 上 ， 则 应 选中 “ 另 一 台 计算 机 上 的 目录 ” 单 选 按钮 ， 如 图 12-7 所 示 。 
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12-7 设置 FTP 站 点 的 主 目录 


(2) 在 “FTP 站 点 目录 ”选项 区 域 中 ， 单 击 “ 浏 览 ”按钮 选择 主 目录 的 路 径 ， 或 者 直接 
在 “本 地 路 径 ” 文 本 框 中 输入 主 目录 的 路 径 ， 通 过 选中 复 选 框 来 设置 目录 权限 。 通 常会 选中 
“ 读 取 ” 和 “ 写 入 ” 复 选 框 ， 禁 用 “记录 访问 ” 复 选 框 。 在 “目录 列表 样式 ”选项 区 域 中 ， 
通过 选中 单 选 按钮 来 设置 目录 列表 的 风格 ， 包 括 UNIX 和 MS-DOS 风格 。 

(3) 单 击 “ 确 定 ” 按 钮 保存 设置 。 


12.2.3 添加 FTP 虚拟 目录 


FTP 虚拟 目录 是 指 在 FTP 中 除去 主 目录 以 外 的 所 有 发 布 目录 。 与 Web 服务 一 样 ， 添 加 
FTP 虚拟 目录 也 是 FTP 服务 发 布 信 息 文件 的 主要 方式 。 在 添加 虚拟 目录 时 ， 管 理 员 可 以 根据 
访问 者 的 权限 来 添加 虚拟 目录 ， 也 可 以 根据 主题 内 容 来 添加 虚拟 目录 。 如 果 FTP 站 点 的 文件 
内 容 不 需要 具备 很 高 的 安全 性 ， 则 可 按 主 题 来 添加 ， 但 是 如 果 对 安全 性 要 求 较 高 ， 则 必须 按 
照 访问 者 的 权限 来 添加 。 

添加 FTP 虚拟 目录 的 操作 步骤 如 下 。 

(1) 打开 “Intemet 信息 服务 ”窗口 ,在 控制 台 目 录 树 中 需要 添加 虚拟 目录 的 FTP 站 点 上 
单 击 鼠 标 右键 ,在 弹出 的 快捷 菜单 中 选择 “新 建 ”|“ 虚 拟 目 录 ” 命 令 , 打开 “虚拟 目录 创建 
向 导 ” 对 话 框 ， 如 图 12-8 所 示 。 

(2) 单 击 “ 下 一 步 ”按钮 打开“ 虚拟 目录 别名 ”对 话 框 ， 在 “别名 ”文本 框 中 输入 用 
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于 获得 此 虚拟 目录 访问 权限 的 别名 ， 如 图 12-9 所 示 。 


I 
欢迎 使 用 虚拟 目录 创建 向 导 RE 


TR. 使 用 的 命名 规则 应 与 命名 目录 的 规则 


此 问 时 帮助 您 在 FIP 站 点 上 新 寻 一 个 虚 氢 目录 别名 四 : 
[3577 
要 继 杜 ， 请 单 击 “ 下 一 步 ”- 
oz ww | | 
12-8 ”虚拟 目录 创建 向 导 图 12-9 “虚拟 目录 别名 ”对 话 框 


(3) 输入 别名 后 ， 单 击 “ 下 一 步 ”按钮 ， 打 开 “FTP 站 点 内 容 目 录 ” 对 话 框 ， 单 击 “ 浏 
览 ” 按 钮 选择 目录 路 经 ， 也 可 直接 在 “路 径 ” 文 本 框 中 输入 目录 路 径 ， 如 图 12-10 所 示 。 
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图 12-10 “FTP 站 点 内 容 目 录 ” 对 话 框 


(4) 单 击 “ 下 一 步 ”按钮 打开“ 访问 权限 ”对 话 框 ， 在 “允许 下 列 权限 ”选项 区 域 中 ， 


管理 员 可 以 为 此 目录 设置 访问 权限 。 访 问 权限 设置 完成 后 ， 单 击 “ 下 一 步 ”按钮 可 打开 “ 完 
成 虚拟 目录 创建 向 导 ” 对 话 框 ， 单 击 “ 完 成 ”按钮 ， 即 可 完成 虚拟 目录 的 创建 。 


12.2.4 管理 FTP 站 点 


在 “Intemet 信息 服务 ”窗口 中 选择 需要 操作 的 FTP 站 点 ， 然 后 打开 其 “操作 ”菜单 ， 
与 操作 Web 网 站 相似 。 通 过 这 个 “操作 ”菜单 ， 管 理 员 可 以 对 当前 FTP 站 点 进行 浏览 、 删 
除 、 重 命名 等 各 种 操作 。 

有 关 当 前 FTP 站 点 的 查看 、 启 动 、 停 止 、 暂 停 、 子 站 点 和 虚拟 目录 的 添加 、 重 命名 、 刷 


E 


于 是 理 五 B 服 各 吕 的 配 


新 和 删除 等 操作 ， 与 Web 网 站 的 操作 基本 相同 , 管理 员 只 需 简单 的 操作 即 可 完成 。 如 果 管理 
员 需 要 设置 FTP 站 点 的 属性 ， 在 该 站 点 上 单 击 鼠 标 右键 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ” 
命令 ， 打 开 其 属性 对 话 框 ， 如 图 12-11 所 示 。 
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图 12-11 设置 FTP 站 点 的 属性 


在 “FTP 站 点 ”选项 卡 中 ， 通 过 “FTP 站 点 标识 ”选项 区 域 中 的 3 个 选项 来 设置 站 点 的 
说 明 (站 点 名 称 )、 服 务 器 了 P 地 址 和 TCP 端口 。 在 “FTP 站 点 连接 ”选项 区 域 中 ， 选 中 “连接 
限制 为 ” 单 选 按 钮 ， 并 在 其 右 侧 的 文本 框 中 输入 连接 个 数 ， 可 以 限制 同时 连接 当前 FTP 站 点 
的 连接 数 。 如 果 对 每 一 个 连接 进行 连接 超时 限制 ,可 在 “连接 超时 ”文本 框 中 输入 超时 秒 数 ， 
一 般 不 超过 900 秒 。 为 了 后 期 维护 方便 ， 可 选中 “启用 日 志 记 录 ” 复 选 框 ， 并 在 “活动 日 志 
格式 ”下 拉 列 表 框 中 选择 日 志 格式 。 如 果 要 对 日 志 的 常规 和 扩展 属性 进行 详细 的 设置 ， 可 通 
过 单 击 “ 属 性 ”按钮 来 完成 。 

完成 “FTP 站 点 ”选项 卡 中 的 选项 设置 后 ， 可 以 分 别 通过 “安全 帐户 ”、“ 消 息 ”、“ 主 
目录 ”和 “目录 安全 性 ”选项 卡 来 设置 ， 最 后 单 击 “ 确 定 ”按钮 保存 所 设置 内 容 。 


12.3 ”使 用 Serv-U 建立 FTP 服务 器 


Serv-U 是 一 款 非 常 流行 的 FTP 服务 器 端 软件 。 它 之 所 以 流行 是 因为 它 的 易 用 性 , 可 以 在 
短 时 间 内 迅速 地 组 建功 能 强大 的 FTP 服务 器 。Serv-U 最 初 在 1994 年 被 作为 一 个 Rob Beckers 
的 个 人 项 目 而 开发 ， 那 时 候 没有 人 能 够 想象 得 到 它 会 像 今天 一 样 如 此 的 流行 。 它 除了 拥有 大 
部 分 FTP 服务 器 端 拥有 的 功能 外 ， 还 支持 实时 的 多 用 户 连接 ， 支 持 匿名 用 户 的 访问 ;通过 限 
制 同一 时 间 最 大 的 用 户 访问 人 数 来 确保 服务 器 的 正常 运转 : 在 目录 和 文件 层次 都 可 以 设置 安 
全 防范 措施 ， 能 够 为 不 同 用 户 提供 不 同 的 设置 ， 支 持 分 组 可 以 管理 数量 众多 的 用 户 ; 基于 四 
对 用 户 授予 或 拒绝 访问 权限 。 断 点 续 传 ， 上 传 下 载 带宽 限制 ， 远 程 管理 ， 虚 拟 主机 ， 可 设置 
在 用 户 登 录 或 退出 时 的 显示 信息 等 。 它 友好 的 图 形 管理 界面 以 及 拥有 安全 稳定 的 性 能 ， 也 是 
被 广泛 使 用 的 原因 。 
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后) 藉 信 管 理 后 村 


12.3.1 下 载 并 安装 Serv-U 


如 果 安 装 了 IIS， 在 配置 Serv-U 之 前 ， 首 先 必须 把 TS 的 FTP 服务 器 关闭 ， 打 开 控 制 面 
板 ， 选择“ 管理 工具 ” |“ 服务”| FTP Publishing Service 命令 ， 在 打开 的 对 话 框 中 把 “启动 类 
型 ” 设 为 手动 ， 然 后 单 击 “ 停 止 ” 按钮。Serv-U 是 Windows 平台 上 最 流行 的 FTP 服务 器 软 
件 ， 其 官方 网 站 是 http://www.serv-u.com/。 可 以 从 官方 网 站 下 载 ， 也 可 以 从 其 他 网 站 下 载 。 


12.3.2 设置 Serv-U 


安装 完毕 后 ， 出 现 如 下 界面 ， 如 图 12-12 所 示 。 设 置 Serv-U 的 具体 操作 步骤 如 下 。 
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12-12 启动 Serv-U 


(1) 在 Domains 选项 上 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 New Domain 命令 ， 添 
加 新 域名 ， 如 图 12-13 所 示 。 

(2) 输入 IP 地 址 。 一 般 来 说 ， 不 需要 输入 ， 留 空 即 可 ，Serv-U 会 绑 定 在 本 机 所 有 的 中 
地 址 上 ， 包 括 拨号 上 网 得 到 的 动态 P 地 址 。 单 击 Next 按钮 ， 如 图 12-14 所 示 。 
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图 12-13 添加 新 域名 12-14 输入 IP 地 址 


(3) 输入 域名 ， 单 击 Next 按钮 ， 如 图 12-15 所 示 。 
(4) 输入 端口 号 ， 使 用 默认 值 21 即 可 。 单 击 Next 按钮 ， 如 图 12-16 所 示 。 


图 12-15 输入 域名 图 12-16 输入 端口 号 


(5) 选择 域名 的 存放 位 置 ， 使 用 默认 值 即 可 。 单 击 Finish 按钮 ， 如 图 12-17 所 示 。 
(6) 域名 设置 完毕 。 需 要 注意 的 是 ,若是 采用 网 关 端 口 映 射 而 使 用 公 网 动态 域名 的 用 户 ， 
请 在 这 里 选择 Enable dynamic DNS 选项 ， 如 图 12-18 所 示 。 


图 12-17 选择 域名 的 存放 位 置 12-18 设置 完毕 


(7) 在 Users 选项 上 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 New User 命令 ， 添 加 新 用 
户 ， 如 图 12-19 所 示 。 
(8) 在 打开 的 对 话 框 中 输入 用 户 名 ， 然 后 单 击 Next 按钮 ， 如 图 12-20 所 示 。 


图 12-19 添加 新 用 户 图 12-20 输入 用 户 名 


(9) 在 打开 的 对 话 框 中 输入 密码 ， 然 后 单 击 Next 按钮 ， 如 图 12-21 所 示 。 
(10) 在 打开 的 对 话 框 中 输入 用 户 的 根 目录 ， 然 后 单 击 Next 按钮 ， 如 图 12-22 所 示 。 


图 12-21 输入 密码 12-22 输入 用 户 根 目录 


(11) 然后 选择 是 否 把 用 户 锁定 在 根 目 录 。 为 了 安全 起 见 ， 最 好 锁定 。 单 击 Next 按钮 之 
后 ， 设 置 完毕 ，Serv-U 已 经 可 以 正常 工作 ， 如 图 12-23 所 示 。 


图 12-23 ”锁定 根 目 录 


12.3.3 Serv-U 的 其 他 设置 


默认 情况 下 ， 用 户 只 能 下 载 文件 ， 如 果 需 要 赋予 用 户 更 多 的 权限 ， 需 要 在 这 个 界面 中 选 
择 右边 红色 框 里 的 选项 ， 如 图 12-24 所 示 。 


图 12-24 设置 Serv-U 


1. 匿名 登录 

打开 Serv-U， 在 左边 的 列表 框 中 展开 Domains | user.dns0755.net 节点 ， 在 子 节点 Users 
上 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 New User 命令 ， 新 建 一 个 用 户 ， 命 名 为 
anonymous， 并 配置 好 该 用 户 的 目录 ， 即 可 匿名 登录 Serv-U。 


2. 流量 限制 


打开 Serv-U， 进 入 Domains | user.dns0755.net | Users |“ 用 户 名 ”， 其 各 项 设置 如 下 : 


Allow only () login(s) from same IP address: 允 许 同一 个 人 P 多 少 个 连接 
Max. upload speed: ”最 大 上 传 速度 (KBytes/s) 

Max. download speed: 最 大 下 载 速度 (KBytes/s) 

Max. no. of users: 最 大 用 户 数 


3. UL/DL Ratios( 上 传 /下 载 比例 ) 限 制 


UL/DL Ratios 是 上 传 /下 载 比例 限制 , 设置 了 这 个 选项 , 需要 上 传 一 定数 量 的 文件 后 才能 
下 载 文件 ， 如 果 FTP 网 站 不 能 下 载 文件 ， 将 会 出 现下 面 的 错误 信息 : 


550 Sorry, insufficient credit for download - upload first 


可 通过 在 Serv-U 中 取消 UL/DL Ratios 限制 来 解决 该 问题 。 设 置 方法 为 : 进入 Domains | 
user.dns0755.net | Users | usemame | UL/DL Ratios， 取 消 对 Enable upload/download ratios 复 选 
框 的 选择 ， 默 认 情 况 下 ， 这 个 功能 是 关闭 的 。 
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DNS 服 务 器 的 配置 和 管理 


在 Internet 中 ， 计 算 机 之 间 的 TCP/IP 通信 都 是 通过 IP 地 址 来 进 
行 的 ， 因 此 ，Internet 中 的 计算 机 都 应 有 一 个 IP 地 址 作为 它们 的 唯一 
标识 。 不 过 , 用 户 很 难 将 需要 访问 的 所 有 Web 站 点 和 网 络 计算 机 的 IP 
地 址 记 住 ， 所 以 ， 人 们 便 在 操作 系统 中 引入 了 域名 系统 (DNS)。 域 名 
系统 是 一 个 用 于 在 网 络 上 寻找 计算 机 和 其 他 资源 的 等 级 性 命名 系统 。 
它 最 常见 的 用 途 便 是 提供 一 项 服务 将 好 记 的 DNS 域名 映射 到 网 络 资 
源 和 IP 地 址 , 于 是 在 IP 地 址 和 主机 名 之 间 便 建立 起 了 一 种 映射 关系 ， 
DNS 服务 器 将 会 保存 和 管理 这 种 映射 关系 , 以 便 为 网 络 中 的 客户 机 提 
供 域名 解析 服务 。 在 Windows Server 2003 中 提供 的 是 功能 强大 的 
DNS 6.0 系统 ， 该 系统 集成 了 一 些 新 的 功能 与 特性 ， 如 与 Active 
Directory 的 集成 以 及 动态 的 DNS 功能 等 。 
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13.1 DNS 简介 


域名 系统 (DNS，Domain Name System) 在 TCP/IP 结构 的 网 络 中 是 一 种 很 重要 的 Intemet 
和 Intranet 服务 ， 它 是 一 种 组 织 成 域 层 次 结构 的 计算 机 和 网 络 服务 命名 系统 ， 通 过 DNS 服务 
可 以 将 易于 记忆 的 域名 和 不 易 记 忆 的 他 地 址 进行 转换 , 从 而 使 得 人 们 能 通过 简单 好 记 的 域名 
来 代替 他 地 址 访问 网 络 。 是 由 Peggy Karp 在 1971 年 的 Request for Comments(RPC)226 中 首 
次 提出 来 的 。 承 担 DNS 解析 任务 的 网 络 主机 ， 被 称 为 DNS 服务 器 (DNS Server)。 建 立 一 台 
企业 网 络 的 DNS 服务 器 ， 需 要 具备 以 下 条 件 : 

(1) 一 个 他 地 址 

(2) 域名 

(3) 网 络 与 Internet 连接 (不 包括 用 调制 解 调 器 进行 的 连接 ) 

本 章 将 详细 介绍 Windows Server 2003 系统 下 各 种 域名 服务 器 的 配置 方法 。 


13.1.1 DNS 特征 及 组 成 


通常 认为 DNS 只 是 将 域名 转换 成 他 地址 , 然后 再 使 用 查 到 的 他 地 址 连接 目标 主机 ， 这 
个 过 程 称 为 “ 正 向 查找 ”。 事实 上 ,将 人 P 地 址 转换 成 响应 域名 的 功能 也 经 常 使 用 到 ， 当 客户 
机 登录 到 一 台 服 务 器 时 ， 服 务 器 就 会 找 出 客户 机 是 从 哪个 地 方 连接 的 ， 这 个 过 程 称 为 “ 反 向 
查找 ”。 

1. DNS 的 特征 


DNS 具有 以 下 一 些 重要 特征 。 

(1) 适合 于 任何 网 络 规模 ，DNS 工作 不 依赖 于 大 规模 的 他 地 址 映射 表 。 

(2) 采用 分 布 式 数据 系统 结构 ， 易 于 管理 ， 网 络 运行 可 靠 性 高 。 

(3) 在 DNS 系统 中 ， 新 入 网 的 他 信息 可 以 在 需要 时 自动 广播 至 网 络 的 任意 一 处 。 
2. DNS 的 组 成 


DNS 系统 依赖 于 一 种 层次 化 的 域名 空间 分 布 式 数据 结构 。 具 体 地 讲 ， 它 由 3 部 分 组 成 。 

(1) 域名 或 资源 记录 (Domain Name and Resource Records): 用 来 指定 结构 化 的 域名 空间 和 
相应 的 数据 。 

(2) 域名 服务 器 (Domain Name ServeD: 它 是 一 个 服务 器 端 程序 ， 包 括 域名 空间 树 结构 的 
部 分 信息 。 

(3) 解析 器 (Resolves): 它 是 客户 端 用 户 向 域名 服务 器 提交 解析 请 求 的 程序 。 


13.1.2 ”DNS 的 层次 结构 与 域名 分 配 


DNS 在 运行 中 需要 进行 委派 ， 这 项 工作 由 Intemet 协会 的 授权 委员 会 完成 ， 该 协会 管理 
Internet 的 地 址 和 域名 的 登记 。 下 属 的 3 个 机 构 ， 分 别管 理 全 球 不 同 地 区 的 域名 和 地 址 分 配 : 
欧洲 信息 网 络 中 心 ， 负 责 管理 欧洲 的 域名 分 配 ，InterNIC， 负 责 管理 南北 美和 非 亚太 所 属 区 
的 域名 ， 亚 太 地 区 的 APNIC， 负 责 管理 该 地 区 域名 和 地 址 的 分 配 。 

中 国 属于 亚太 地 区 ， 所 以 这 里 重点 介绍 APNIC 分 配 地 址 的 两 种 方式 。 

(1) 下 属 3 个 国家 和 一 个 地 区 网 络 中 心 ， 即 日 本 、 韩 国 、 泰 国 和 中 国 台 湾 地 区 ，APNIC 
向 其 授权 域名 分 配 的 权利 ， 它 们 所 属 的 机 构 可 向 各 自主 管 申请 域名 。 

(2) 没有 被 授权 的 国家 网 络 中 心 的 机 构 : 例如 中 国 ，APNIC 成 立 了 ISP 机 构 负责 该 项 工 
作 。 由 APNIC 把 地 址 分 给 ISP， 再 由 大 的 ISP 分 给 小 的 ISP， 层 层 划分 域名 。 

出 于 分 散 并 行 处 理 的 需要 ， 与 Windows 文件 系统 相 类 似 ，DNS 采用 树 型 层次 结构 。 虽 
然 DNS 被 用 于 域名 与 他 地 址 之 间 的 映射 , 但 在 广域网 中 并 未 保存 有 整个 广域网 卫 地 址 信息 
的 设备 ， 也 没有 必要 这 么 做 。 

在 局 域 网 中 ，IP 地 址 信息 被 有 规律 地 分 散在 各 子 域 的 域名 服务 器 中 。 在 DNS 系统 内 ， 
存在 着 一 个 最 上 级 服务 器 , 通常 被 称 为 根 节点 服务 器 (Root Server)。 各 国家 和 地 区 的 根 节点 服 
务 器 只 为 该 国家 和 地 区 间 的 网 络 提供 人 P 查询 服务 , 而 具体 的 映射 是 由 其 下 属 的 各 级 服务 器 来 
实现 的 。 

各 根 节点 下 的 一 级 域名 服务 器 仅 负 责 管理 其 二 级 域 的 他 地 址 信息 , 二 级 域名 服务 器 则 仅 
为 其 所 属 范围 内 的 各 个 三 级 域 提供 服务 ， 三 级 域 以 下 的 各 子 域 则 由 各 个 入 网 单位 自己 管理 。 
三 级 域 的 域名 一 般 由 各 个 国家 的 网 络 管理 中 心 (Network Information Centen) 统 一 分 配 和 管理 。 

一 级 域名 ， 也 叫 根 域名 ， 世 界 各 国 或 地 区 的 根 域名 均 依 照 国际 标准 化 组 织 的 规定 ， 采 用 
双 字 符 方式 来 表示 。 例 如 在 中 国 ，ChinaNet 的 根 域 (Top Domain) 名 为 cn。 

关于 二 级 域名 ， 各 国有 各 国 的 规定 。 例 如 ，ChinaNet 的 二 级 域名 定义 如 下 。 

edu: 教育 科研 机 关 

com: 企 事业 单位 

gov: 政府 机 关 

net: 网 络 管理 机 关 

org: 网 络 服务 性 机 关 

在 ChinaNet 上 ， 还 采用 下 述 局 域名 表示 法 。 

beijing: 北京 地 区 

shanghai: 上 海地 区 

guangzhou: 广州 地 区 
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在 中 国 ，ChinaNet 由 CNIC(China Network Information Center) 统 一 负责 卫 地 址 分 配 及 二 
级 域名 的 命名 。 

三 级 域名 , 常常 以 各 单位 的 英文 缩写 来 命名 。 例 如, 北京 大 学 为 pku, 清华 大 学 为 tsinghua 
等 。 因 此 ， 这 些 单位 的 三 级 域名 表示 为 : 


pku.edu.cn 
tsinghua.edu.cn 


四 级 及 其 以 下 域名 ， 由 各 三 级 域名 所 属 单位 各 自命 名 ， 一 般 为 各 个 下 属 机 关 、 部 门 的 英 
文 缩写 ， 但 必须 唯一 。 如 : 


cs.pku.edu.cn 
lib.pku.edu.cn 
nnc.tsinghua.edu.cn 


为 书写 方便 ， 各 子 域名 的 字符 数 也 不 宜 太 长 。 
13.1.3 ”DNS 查询 过 程 


DNS 是 典型 的 客户 机 /服务 器 (C/S) 模 式 结构 

DNS 的 查询 过 程 如 下 : 请 求 程序 通过 客户 端 解释 器 (Client-Resolver) 向 服务 器 端 (Server) 
发 出 查询 请 求 , 等 待 由 服务 器 端 数 据 库 (Server-Database) 给 出 应 答 , 并 解释 Server 给 出 的 答案 ， 
然后 把 所 得 信息 传 给 提出 请 求 的 程序 。 

例如 ， 假 设 查询 某 计 算 机 的 FQDN(Full Qualified Domain Name) 为 http://dns.test.net.cn， 
那么 DNS 的 查询 过 程 如 下 。 

(1) 客户 端 送出 请 求 给 这 台 计 算 机 所 设置 的 DNS Server， 询 问 http://dns.test.net.cn/ 的 人 P 
地 址 是 多 少 。 

(2) 指定 的 DNS Server 先 查 看 该 域名 是 不 是 在 它 的 缓存 文档 中 。 如 果 是 ， 则 回复 答案 ; 
如 果 不 是 ， 就 从 最 上 一 级 查 起 。 在 DNS Server 配置 文件 中 有 “.” 的 设置 ， 表 示 往 上 一 层 的 
任何 一 台 DNS 服务 器 查询 。 它 会 问 .cn 要 向 谁 查询 。 

(3) . 层 的 DNS Server 会 回答 : .cn 要 向 .cn 所 在 的 DNS Serverl 查询 。 

(4) 接着 向 DNS Serverl 询问 : .net.cn 要 向 谁 查询 。 DNS Serverl 回答 : .net.cn 要 向 .netcn 
所 在 的 DNS Server2 查询 。 

(5) 接着 向 DNS Server2 询问 test.net.cn 要 向 谁 查询 ， 回 答 是 要 向 test.net.cn 所 在 的 DNS 
Server3 查询 。 

(6) 在 DNS Server3 确定 dns.test.net.cn 要 向 www.test.net.cn 查询 : www.test.net.cn 域 下 的 
dns.test.net.cn 的 卫 是 什么 。 


(7) www.test.net.cn 会 回答 dnstestnetcn 的 他 是 什么 。 


3. DNS 的 类 别 


每 个 DNS 服务 器 在 进行 域名 到 人 P 地 址 的 解析 时 ， 如 果 对 某 个 域名 不 能 解析 ， 则 该 DNS 
服务 器 能 够 知道 到 什么 地 方 去 找 别 的 DNS 服务 器 进行 解析 。 域 名 服务 器 分 为 3 类 : 

1) 本 地 域名 服务 器 。 一 般 在 客户 机 上 设置 DNS 服务 器 的 他 地 址 时 ， 这 个 DNS 服务 器 
一 般 都 是 指向 本 地 域名 服务 器 。 

2) 根 域名 服务 器 。 当 一 个 本 地 域名 服务 器 不 能 解析 一 个 域名 时 , 该 域名 服务 器 就 以 DNS 
客户 的 身份 向 某 个 根 域名 服务 器 进行 查询 。 

3) 授权 域名 服务 器 。 每 一 个 主机 都 必须 在 授权 域名 服务 器 处 注册 登记 。 通 常 ， 一 个 主机 
的 授权 域名 服务 器 就 是 它 的 本 地 ISP(Intemet 服务 提供 商 ) 的 一 个 域名 服务 器 。 

在 每 一 个 DNS 服务 器 中 都 有 一 个 高 速 缓存 区 (Cache)， 这 个 缓存 区 的 主要 作用 是 将 该 
DNS 服务 器 所 查询 出 来 的 名 称 及 相对 的 人 P 地 址 记录 在 该 缓存 区 中 ， 这 样 当下 一 次 还 有 另外 
一 个 客户 端 再 到 服务 器 上 去 查询 相同 的 名 称 时 ，DNS 服务 器 就 不 用 再 到 其 他 主机 上 去 寻找 ， 
而 可 以 直接 从 缓存 区 中 找到 该 记录 ， 传 回 给 客户 端 ， 加 速 客户 端 对 域名 的 查询 速度 。 


13.2 DNS 解析 种 类 


13.2.1 主机 名 解析 


主机 名 解析 就 是 将 主机 名 映射 为 中 地址 。 主机 名 是 分 配给 中 节点 用 来 标识 TCP/IP 主机 
的 别名 。 主 机 名 最 多 可 以 有 255 个 字符 ， 可 以 包含 字母 和 数字 符号 、 连 字符 和 人 句点， 还 可 以 
对 同一 主机 分 配 多 个 主机 名 。 例 如 ，Intemet Explorer 和 FTP 实用 程序 ， 可 以 使 用 待 连接 目标 
的 两 个 值 中 的 一 个 : 人 P 地 址 或 主机 名 。 指 定 他 地 址 时 ， 不 需要 名 称 解析 。 指 定 主 机 名 时 ， 
在 开始 与 所 需 资 源 进行 基于 下 的 通信 之 前 ， 主 机 名 必须 解析 成 下 地 址 。 

主机 名 可 以 采用 不 同 的 形式 ， 两 种 最 通用 的 形式 是 昵称 和 域名 。 昵 称 是 个 人 指派 并 使 用 
的 中 地 址 的 别名 。 域 名 是 在 称 为 “域名 系统 (DNS)” 的 分 层 结构 名 称 空间 中 的 结构 化 名 称 ， 
www.microsoft.com 就 是 域名 的 一 个 典型 范例 。 昵 称 通过 Hosts 文件 中 的 项 目 来 解析 ，Hosts 
文件 存储 在 systemroot\System32\Drivers\Etc 文件 夹 中 。 域 名 是 通过 向 所 配置 的 DNS 服务 器 
发 送 DNS 名 称 查 询 而 解析 的 。DNS( 域 名 服务 器 ) 就 是 一 台 能 使 具有 普通 名 称 的 设备 转换 成 某 
个 特定 的 网 络 地 址 的 计算 机 。 例如 , 一 个 国家 的 网 络 无 法 访问 另 一 个 国家 网 络 中 名 为 IBM 的 
系统 ， 除 非 使 用 某 种 方法 检查 本 地 计算 机 的 名 称 才 行 。 DNS 提供 了 将 计算 机 的 普通 名 字 转 换 
为 设备 的 网 络 连 接 的 专用 物理 地 址 。 
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13.2.2” ”NetBIOS 名 称 解析 


NetBIOS 名 称 解析 就 是 将 NetBIOS 名 称 映 射 成 人 P 地 址 。NetBIOS 名 称 是 用 于 标识 网 络 
上 的 NetBIOS 资源 的 16 字 节 地 址 。NetBIOS 名 称 要 么 是 唯一 的 (独占 )， 要 么 是 组 ( 非 独占 ) 名 
称 。 当 NetBIOS 进程 与 特定 计算 机 上 的 特定 进程 通信 时 将 使 用 唯一 名 称 。 当 NetBIOS 进程 
与 多 台 计算 机 上 的 多 个 进程 通信 时 将 使 用 组 名 称 。 

一 个 使 用 NetBIOS 名 称 的 进程 范例 就 是 运行 Windows 的 计算 机 上 的 “Microsoft 网 络 的 
文件 和 打印 机 共享 服务。 启动 计算 机 时 , 该 服务 器 根据 计算 机 名 注册 唯一 的 NetBIOS 名 称 。 
服务 使 用 的 准确 名 称 是 15 个 字符 的 计算 机 名 加 上 第 16 个 字符 0x20。 如 果 计 算 机 名 称 不 是 15 
个 字符 ， 则 可 以 插入 空格 一 直到 长 度 为 15 个 字符 为 止 。 当 用 户 尝试 与 运行 Windows 的 计算 
机 通过 名 称 建 立 共享 文件 连接 时 ， 在 指定 的 文件 服务 器 上 的 “Microsoft 网 络 的 文件 和 打印 机 
共享 ”服务 对 应 于 特定 的 NetBIOS 名 称 。 例 如 ， 当 尝试 连接 名 称 为 fighter 的 计算 机 时 ， 与 那 
台 计 算 机 上 的 “Microsoft 网 络 的 文件 和 打印 机 共享 ”服务 相应 的 NetBIOS 名 称 应 该 是 fighter 
[20]。 在 这 里 ，Windows 系统 正 是 使 用 了 空格 来 填充 计算 机 名 。 计 算 机 之 间 建 立 文 件 和 打印 
共享 连接 之 前 ， 必 须 先 创建 TCP 连接 。 要 建立 TCP 连接 ，NetBIOS 名 称 “fighter[20]” 必 须 
被 解析 成 他 地址。 

这 里 建议 用 户 对 运行 Windows Server 2003 的 计算 机 配置 WINS 服务 器 的 卫 地址， 以 便 
解析 远程 NetBIOS 名 称 。 如 果 与 不 是 基于 活动 目录 的 运行 Windows Server 2003、Windows 
2000 或 Windows 98 的 计算 机 通信 ， 则 必须 对 基于 活动 目录 的 Windows Server 2003 的 计算 
机 配置 WINS 服务 器 。 


13.3 DNS 服务 器 的 安装 与 配置 


通常 用 户 会 混淆 域名 系统 服务 器 和 域名 系统 这 两 个 概念 ， 其 实 域名 系统 服务 器 只 是 域名 
系统 中 的 工具 , 正 是 通过 域名 系统 服务 器 不 停 地 工作 才 使 域名 系统 的 名 称 解析 功能 得 以 实现 。 
通过 对 前 面 一 些 基础 知识 的 了 解 ， 相 信用 户 已 经 对 域名 系统 服务 器 的 作用 有 了 相当 的 认识 。 
为 启用 域名 系统 的 解析 功能 ， 需 要 用 户 必须 创建 与 配置 DNS 服务 器 。 


13.3.1 安装 DNS 服务 器 


(1) 单 击 “ 开 始 ”按钮 ， 选 择 “ 管 理工 具 ”|“ 配 置 您 的 服务 器 向 导 ” 命 令 ， 在 打开 的 向 
导 对 话 框 中 依次 单 击 “ 下 一 步 ”按钮 。 配 置 向 导 自 动 检测 所 有 网 络 连接 的 设置 情况 ， 若 没有 
发 现 问题 则 进入 “服务 器 角色 ”对 话 框 。 

(2) 在 “服务 器 角色 ”列表 中 单 击 “DNS 服务 器 ”选项 ， 如 图 13-1 所 示 。 然 后 单 击 “ 下 
一 步 ” 按 钮 ， 打 开 “ 选 择 总 结 ” 对 话 框 ， 如 果 列 表 中 出 现 “ 安 装 DNS 服务 器 ”和 “运行 配 


ER 本 NS 服务 省 的 瑟 至 和 管理 


置 DNS 服务 器 向 导 来 配置 DNS”， 则 直接 单 击 “ 下 一 步 ”按钮 ， 否 则 单 击 “ 上 一 步 ”按钮 
重新 配置 。 

(3) 向 导 开 始 安装 DNS 服务 器 ， 并 且 系 统 可 能 会 提示 插入 Windows Server 2003 的 安装 
光盘 或 指定 安装 源 文件 ， 如 图 13-2 所 示 。 
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铺 入 文件 所 在 Hg 径 ,外 后 单 击 “ 确 二 ”。 


| 一 可 
图 13-1 选择 “DNS 服务 器 ”角色 图 13-2 ”指定 系统 安装 盘 或 安装 源 文件 


13.3.2 创建 DNS 服务 器 


DNS 服务 器 安装 完成 以 后 会 自动 打开 “配置 DNS 服务 器 向 时 ”对 话 框 ， 用 户 可 以 在 该 
向 导 的 指引 下 创建 区 域 ， 具 体操 作 步 又 如 下 。 

(1) 在 “配置 DNS 服务 器 向 导 ” 的 欢迎 页 面 中 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 选 择 配置 操 
作 ” 对 话 框 。 在 默认 情况 下 适合 小 型 网 络 使 用 的 “创建 正 向 查找 区 域 ” 单 选 按钮 处 于 选中 状 
态 ， 如 图 13-3 所 示 。 

(2) 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 主 服务 器 位 置 ” 对 话 框 ， 如 果 所 部 署 的 DNS 服务 器 是 
网 络 中 的 第 一 台 DNS 服务 器 ， 则 应 该 保持 “这 人 台 服 务 器 维护 该 区 域 ” 单 选 按钮 的 选中 状态 ， 
将 该 DNS 服务 器 作为 主 DNS 服务 器 使 用 ， 如 图 13-4 所 示 。 
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个 只 配置 根 提示 (只 适合 高 妖 用 户 使 用 ) C) 
此 向 导 只 配置 根 提示 。 您 可 以 格 来 再 配置 正 向 和 反 向 查找 区 域 和 转发 器 。 


有 关 准 护 DRS 服务 器 区 域 的 洋 细 信 息 ,请 单 击 “ 才 助 ”。 
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图 13-3 选择 配置 操作 图 13-4 确定 主 服务 器 的 位 置 
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(3) 单 击 “ 下 一 步 ”按钮 打开“ 区 域名 称 ” 对 话 框 ， 在 “区 域名 称 ”文本 框 中 输入 区 
域名 称 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 13-5 所 示 。 

(4) 在 打开 的 “区 域 文件 ”对 话 框 中 已 经 根据 区 域名 称 默认 输入 了 一 个 文件 名 。 该 文件 
是 一 个 ASCII 文本 文件 , 里 面 保存 着 该 区 域 的 信息 , 默认 情况 下 保存 在 windows\system32\dns 
文件 夹 中 。 保 持 默认 值 不 变 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 如 图 13-6 所 示 。 
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13-5 填写 区 域名 称 13-6 创建 区 域 文件 


(5) 在 打开 的 “动态 更 新 ”对 话 框 中 指定 该 DNS 区 域 能 够 接受 的 注册 信息 更 新 类 型 。 允 
许 动态 更 新 可 以 让 系统 在 DNS 中 自动 地 注册 有 关 信 息 ， 在 实际 应 用 中 比较 有 用 ， 因 此 选中 
“允许 非 安全 和 安全 动态 更 新 ” 单 选 按钮 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 13-7 所 示 。 

(6) 打开 “转发 器 ”对 话 框 ， 保 持 “ 是 ， 应 当 将 查询 转送 到 有 下 列 卫 地 址 的 DNS 服务 
器 上 ” 单 选 按钮 的 选中 状态 。 在 人 P 地 址 文本 框 中 输入 ISP( 或 上 级 DNS 服务 器 ) 提 供 的 DNS 
服务 器 他 地 址 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 13-8 所 示 。 
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(7) 依次 单 击 两 个 “完成 ”按钮 结束 区 域 的 创建 过 程 和 DNS 服务 器 的 安装 配置 过 程 。 


13.3.3 ”创建 域名 


虽然 利用 向 导 成 功 创建 了 区 域 ， 可 是 内 部 用 户 还 不 能 使 用 这 个 名 称 来 访问 内 部 站 点 ， 因 
为 它 还 不 是 一 个 合格 的 域名 ， 还 需要 在 其 基础 上 创建 指向 不 同 主机 的 域名 才能 提供 域名 解析 
服务 。 若 创建 一 个 用 于 访问 Web 站 点 的 域名 www.xxx.com， 其 具体 操作 步骤 如 下 。 

(1) 单 击 “ 开 始 ”按钮 ， 选 择 “ 管 理工 具 ”|DNS 命令 ， 打 开 dnsmgmt 控制 台 窗口 。 

(2) 在 左 窗 格 中 依次 展开 ServerName |“ 正 向 查找 区 域 ”目录 , 然后 用 鼠标 右键 单 击 之 前 
建立 的 区 域 ， 执 行 快捷 菜单 中 的 “新 建 主机 ”命令 ， 如 图 13-9 所 示 。 

(3) 打开 “新 建 主机 ”对 话 框 ， 在“ 名称 ”文本 框 中 输入 一 个 能 代表 该 主机 所 提供 服务 
的 名 称 (本 例 输入 www)。 在 “了 P 地 址 ”文本 框 中 输入 该 主机 的 他 地 址 (如 192.168.0.11)， 然 
后 单 击 “ 添 加 主机 ”按钮 ， 很 快 系统 就 会 提示 已 经 成 功 创建 了 主机 记录 ， 如 图 13-10 所 示 。 
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最 后 单 击 “ 完 成 ”按钮 结束 操作 。 


13.3.4 DNS 客户 端 设置 


尽管 DNS 服务 器 已 经 建立 ， 并 且 创 建 了 合适 的 域名 ， 可 是 如 果 是 在 客户 机 的 浏览 器 中 
却 无 法 使 用 www.yesky.com 这 样 的 域名 访问 网 站 。 这 是 因为 虽然 已 经 有 了 DNS 服务 器 ， 但 
客户 机 并 不 知道 DNS 服务 器 在 哪里 , 因此 不 能 识别 用 户 输入 的 域名 。 用户 必须 手动 设置 DNS 
服务 器 的 人 P 地 址 才 行 。 在 客户 机 上 选择 “控制 面板 ”|“ 网 络 连接 ”|“ 本 地 连接 ”命令 ， 单 
击 “ 属 性 ”按钮 ， 打 开 “Intemet 协议 (TCP/IP) 属 性 ”对 话 框 ， 然 后 在 “常规 ”选项 卡 的 “ 首 
选 DNS 服务 器 ”编辑 框 中 设置 刚刚 部 署 的 DNS 服务 器 的 他 地址 ， 如 图 13-11 所 示 。 
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13-11 设置 客户 端 DNS 服务 器 地 址 


13.4 “管理 DNS 服务 器 


13.4.1 集成 DNS 与 Active Directory 


对 于 Windows Server 2003，DNS 服务 器 的 服务 已 经 集成 到 Active Directory 的 设计 和 实 
现 中 , 它 是 由 Microsoft 公司 为 使 用 Windows NT 技术 的 网 络 所 设计 的 下 一 代目 录 服 务 。Active 
Directory 提供 了 用 于 组 织 、 管理 和 定位 网 上 资源 的 企业 级 工具 , 通过 与 Active Directory 的 集 
成 ，DNS 系统 可 以 更 好 地 实现 域名 解析 工作 。 

DNS 通过 与 Active Directory 区 域 的 集成 可 以 简化 网 络 的 规划 ， 例 如 ， 每 个 Active 
Directory 的 域 控制 器 在 直接 一 对 一 映射 中 与 DNS 服务 器 对 应 。 因 为 在 两 种 拓扑 结构 中 都 使 
用 相同 的 服务 器 计算 机 ， 这 可 以 简化 DNS 及 Active Directory 复制 问题 的 规划 及 疑难 解答 。 

在 服务 器 计算 机 上 安装 Active Directory 时 ， 用 户 必 须 将 域 中 的 服务 器 升级 为 域 控制 器 
(DC)。 完 成 该 过 程 时 ， 系 统 将 提示 用 户 为 要 加 入 或 升级 服务 器 的 Active Directory 指定 DNS 
域名 。 如 果 在 该 过 程 中 ， 对 所 指定 的 域 拥有 授权 的 DNS 服务 器 ， 将 会 出 现 不 能 在 网 络 上 找 
到 它 , 或 者 该 服务 器 不 支持 DNS 动态 更 新 协议 的 情况 , 则 系统 将 提示 用 户 选择 安装 Windows 
Server 2003 中 的 DNS 服务 器 。 由 于 要 求 DNS 服务 器 支持 使 用 Active Directory 且 支 持 计算 机 
定位 这 台 服 务 器 或 该 域 的 其 他 域 控制 器 ， 因 此 系统 提供 了 该 选项 。 一 旦 安装 了 Active 
Directory， 对 于 在 新 的 域 控制 器 上 运行 DNS 服务 器 时 存储 和 复制 区 域 , 用 户 可 以 进行 以 下 两 
种 选择 。 


e 使 用 文本 文件 的 标准 区 域 存储 


按 这 种 方式 存储 的 区 域 位 于 .Dns 文件 中 ， 该 文件 存储 在 运行 DNS 服务 器 的 每 台 计 算 机 
上 的 %SystemRoot%\System32\Dns 文件 夹 中 。 区 域 文件 名 称 对 应 于 创建 区 域 时 为 区 域 选择 的 
名 称 ， 例 如 ， 如 果 创 建 的 区 域名 称 为 example.microsoft.com， 则 创建 的 区 域 文件 名 称 为 


Example. microsoft.com.dns。 


e 使 用 Active Directory 数据 库 的 目录 集成 区 域 存储 区 

按 这 种 方式 存储 的 区 域 位 于 Active Directory 树 中 该 域 对 象 容器 之 下 。 每 个 目录 集成 区 域 
都 存储 在 按照 创建 该 区 域 时 为 它 选择 的 名 称 标识 的 dnsZone 容器 对 象 中 。 

如 果 用 户 要 配置 DNS 以 支持 Active Directory 的 网 络 ， 可 以 在 标准 区 域 存储 模式 中 以 单 
主机 更 新 模式 为 基础 进行 DNS 更 新 。 在 该 模式 中 ， 区 域 的 单个 授权 DNS 服务 器 被 指派 为 该 
区 域 的 主要 来 源 。 该 服务 器 在 本 地 文件 中 保留 了 区 域 的 主 控 副 本 。 通 过 该 模式 ， 区 域 的 主 服 
务 器 代表 单个 固定 的 故障 点 ， 如 果 该 服务 器 不 可 用 ， 则 来 自 DNS 客户 机 的 更 新 请 求 不 对 该 区 
域 进行 处 理 。 但 通过 目录 集成 的 存储 区 ， 对 DNS 的 动态 更 新 在 多 主机 更 新 模式 的 基础 上 进行 。 
在 该 模式 下 , 任何 授权 DNS 服务 器 , 如 运行 Windows Server 2003 的 DNS 服务 的 域 控制 器 (DC)， 
都 将 被 指定 为 区 域 的 主要 来 源 。 因 为 区 域 的 主 控 副 本 保留 在 完全 复制 到 所 有 域 控制 器 的 Active 
Directory 数据 库 中 ， 所 以 ， 该 区 域 可 由 在 该 域 的 任何 DC 上 运行 的 DNS 服务 器 更 新 。 

通过 Active Directory 的 多 宿主 更 新 模式 ， 只 要 DC 在 网 络 上 可 以 使 用 而 且 可 以 访问 ， 目 
录 集 成 区 域 的 任何 主 服 务 器 就 可 以 处 理 来 自 DNS 客户 机 的 更 新 区 域 请 求 。 同 时 ， 在 使 用 目 
录 集成 的 区 域 时 ， 用 户 可 以 编辑 访问 控制 列表 (ACL)， 以 保证 目录 树 中 dnsZone 对 象 容器 的 
安全 性 。 该 功能 提供 了 至 区 域 或 区 域 中 指定 RR 的 分 散 访问 ， 例 如， 可 对 区 域 RR 的 ACL 进 
行 限制 ， 以 便 只 允许 指定 的 客户 机 或 像 域 管理 员 组 这 样 的 安全 组 进行 动态 更 新 ， 而 标准 主 
要 区 域 没 有 该 安全 功能 。 

尽管 DNS 服务 可 以 有 选择 性 地 从 DC 中 删除 ， 但 目录 集成 区 域 已 存储 在 每 个 DC 中 ， 
因此 区 域 存储 和 管理 不 是 附加 的 资源 。 同 时 ， 与 可 能 需要 传送 整个 区 域 的 标准 区 域 更 新 方法 
相 比 ， 用 于 同步 化 目录 存储 信息 的 方法 提高 了 性 能 。 

通过 将 DNS 区 域 数 据 库 的 存储 集成 到 Active Directory 中 ， 可 以 简化 针对 网 络 规划 的 数 
据 库 复制 过 程 。 当 DNS 和 Active Directory 名 称 空间 分 别 进行 存储 和 复制 时 ， 用 户 需要 分 别 
规划 和 潜在 地 管理 每 个 名 称 空间 ， 例 如 ， 将 标准 DNS 区 域 存储 与 Active Directory 一 同 使 用 
时 ， 用 户 需 要 设计 、 实 现 、 测 试 和 维护 两 个 不 同 的 数据 库 复 制 拓扑 结构 。 一 种 复制 拓扑 结构 
用 于 在 域 控制 器 之 间 复制 目录 数据 ， 另 一 种 用 于 在 DNS 服务 器 之 间 复 制 区 域 数据 库 。 不 过 ， 
这 可 能 会 在 规划 和 设计 网 络 及 允许 进行 最 终 的 增长 方面 产生 额外 的 管理 复杂 性 。 通 过 集成 
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DNS 存储 区 ， 用 户 可 以 将 DNS 和 Active Directory 的 存储 管理 和 复制 问题 统一 起 来 ， 将 它们 
合并 为 一 个 管理 实体 并 作为 一 个 管理 实体 查看 。 

现在 用 户 已 经 了 解 和 到 ， 只 要 将 新 的 DNS 搜索 区 域 添加 到 Active Directory 中 ， 区 域 就 会 
自动 复制 并 同步 至 新 的 DC, 同时 将 DNS 区 域 数据 库 的 存储 集成 到 Active Directory 中 , 可 以 
简化 针对 网 络 规划 的 DNS 区 域 数据 库 复制 过 程 。 

把 DNS 中 新 建 的 搜索 区 域 与 Active Directory 集成 的 具体 操作 步 又 如 下 。 

(1) 在 DNS 控制 台 窗 口中 ， 打 开 “ 操 作 ”菜单 选择 “新 建 区 域 ”命令 ， 打 开 “ 新 建 区 域 
向 导 ” 对 话 框 ， 如 图 13-12 所 示 。 

(2) 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 区 域 类 型 ”对 话 框 ， 在 “区 域 类 型 ”对 话 框 中 有 3 个 
选项 ， 分 别 是 主要 区 域 、 辅 助 区 域 和 存根 区 域 。 用 户 可 以 根据 区 域 存 储 和 复制 的 方式 选择 一 
个 区 域 类 型 。 为 了 使 DNS 服务 器 用 于 Active Directory， 这 里 还 需要 选中 “在 Active Directory 
中 存储 区 域 ” 复 选 框 ， 如 图 13-13 所 示 。 
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(3) 单 击 “ 下 一 步 ”按钮 ， 将 打开 “Active Directory 区 域 复制 作用 域 ” 对 话 框 ， 用 户 可 
以 选择 在 网 络 上 如 何 复制 DNS 数据 ， 如 图 13-14 所 示 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 正 向 或 反 向 查找 区 域 ”对 话 框 。 在 该 对 话 框 中 ， 用 户 
可 以 选择 “ 反 向 查找 区 域 ” 或 “ 正 向 查找 区 域 ” 单 选 按钮 。 如 果 用 户 希望 创建 的 区 域 是 一 个 
名 称 到 地 址 的 数据 库 ， 且 此 数据 库 将 帮助 计算 机 将 DNS 名 称 转换 为 IP 地 址 ， 并 提供 可 用 服 
务 的 信息 ， 应 选中 “ 正 向 查找 区 域 ” 单 选 按钮 。 如 果 用 户 希望 创建 的 区 域 是 一 个 地 址 到 名 称 
的 数据 库 ， 且 该 数据 库 可 以 帮助 计算 机 将 他 地 址 转换 为 DNS 名 称 ， 应 选中 “ 反 向 查找 区 域 ” 
单 选 按钮 。 本 例 选中 的 是 “ 正 向 查找 区 域 ” 单 选 按钮 。 如 图 13-15 所 示 。 
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13-14 “Active Directory 区 域 复制 作用 域 ” 对 话 框 13-15 “ 正 向 或 反 向 查找 区 域 ”对 话 框 


(5) 选择 了 新 区 域 的 搜索 方向 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 区 域名 称 ” 对 话 框 ， 在 


该 对 话 框 中 输入 新 建 区 域 的 名 称 ， 如 图 13-16 所 示 。 
(6) 单 击 “下 一 步 ” 按 钮 ， 打 开 “ 动 态 更 新 ”对 话 框 ， 用 户 可 以 指定 这 个 DNS 区 域 是 否 
接受 安全 、 不 安全 或 动态 的 更 新 ， 如 图 13-17 所 示 。 
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(7) 单 击 “ 下 一 步 ”按钮 打开“ 正在 完成 新 建 区 域 向 导 ” 对 话 框 ， 如 图 13-18 所 示 。 

(8) 在 “正在 完成 新 建 区 域 向 导 ” 对 话 框 中 ， 系 统 显示 了 用 户 对 新 建 区 域 进行 配置 的 信 
息 ， 如 果 用 户 认为 某 项 配置 需要 调整 ， 可 以 单 击 “ 上 一 步 ”按钮 返回 到 前 面 的 对 话 框 中 重新 
配置 。 如 果 确 认 配 置 正确 ， 可 以 单 击 “ 完 成 ”按钮 结束 新 建 区 域 的 操作 。 
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13.4.2 ”启用 区 域 传送 功能 


DNS 允许 DNS 名 称 空间 分 成 几 个 区 域 ， 它 存储 着 一 个 或 多 个 DNS 域 的 有 关 名 称 信息 。 
对 于 包括 在 区 域 中 的 每 个 DNS 域名 ， 该 区 域 成 为 该 域 的 有 关 信 息 的 权威 性 信息 源 。 对 于 单 
个 DNS 域名 , 区 域 作为 存储 数据 库 启动 。 如 果 其 他 的 域 被 添加 到 用 于 创建 该 区 域 的 域 下 面 ， 
则 这 些 域 可 作为 相同 区 域 的 部 分 或 属于 另 一 个 区 域 。 一 旦 添加 了 子 域 ， 则 它 可 以 作为 源 区 域 
记录 的 一 部 分 来 管理 ， 也 可 以 委派 到 为 支持 子 域 而 创建 的 另 一 区 域 中 。 

由 于 区 域 在 DNS 中 发 挥 着 重要 的 作用 ， 因 此 在 网 络 上 的 多 个 DNS 服务 器 中 提供 区 域 
将 可 以 提供 解析 名 称 查询 时 的 可 用 性 和 容错 。 和 否则， 如 果 使 用 单个 服务 器 而 该 服务 器 没有 响 
应 ， 则 该 区 域 中 的 名 称 查 询 会 失败 。 对 于 提供 区 域 的 其 他 服务 器 ， 要 求 进行 区 域 传送 来 复制 
和 同步 在 配置 为 提供 区 域 的 每 个 服务 器 上 使 用 的 所 有 区 域 副本 。 

当 新 的 DNS 服务 器 添加 到 网 络 并 且 配置 为 现 有 区 域 的 辅助 服务 器 时 ， 它 执行 该 区 域 的 
完全 初始 传送 ， 以 获得 和 复制 区 域 的 一 份 完整 的 资源 记录 。 对 于 大 多 数 较 早 版 本 的 DNS 服 
务 器 实现 方式 ， 在 区 域 更改 后 如 果 区 域 请求 更 新 ， 则 还 将 使 用 相同 的 完全 区 域 传送 方法 。 对 
于 Windows Server 2003，DNS 服务 支持 递增 区 域 传送 ， 用 于 为 中 间 改 变 的 修订 DNS 区 域 传 

如 果 用 户 需 要 启用 DNS 中 的 区 域 复制 功能 ， 以 便 将 区 域 副 本 信息 发 送 到 给 其 他 的 DNS 
服务 器 ， 可 进行 以 下 操作 。 

(1) 打开 DNS 控制 台 窗 口 ， 在 域 树 窗 格 中 选 定 创建 的 DNS 服务 器 ， 然 后 双击 该 服务 器 
打开 其 子 节点 。 在 已 经 建立 的 正 向 查找 区 域 或 反 向 查找 区 域 上 单 击 鼠 标 右键 ， 在 弹出 的 快捷 
菜单 中 选择 “属性 ”命令 后 ， 系 统 将 打开 其 属性 对 话 框 。 在 该 对 话 框 中 ， 单 击 “ 区 域 复制 ” 
标签 ， 打 开 “ 区 域 复制 ”选项 卡 ， 如 图 13-19 所 示 。 

(2) 在 “区 域 复制 ”选项 卡 中 ， 用 户 首先 需要 选中 “人 允许 区 域 复制 ” 复 选 框 ， 这 样 才能 
使 DNS 服务 器 自动 将 区 域 的 副本 发 送 到 请 求 的 其 他 服务 器 ， 接 着 便 需要 用 户 决 定 将 区 域 副 
本 发 送 到 哪些 服务 器 上 ， 系 统 为 用 户 提供 了 3 个 选项 ， 分 别 是 “到 所 有 服务 器 ”、“ 只 有 在 

“名 称 服务 器 ”选项 卡 中 列 出 的 服务 器 ”和 “只 允许 到 下 列 服务 器 ”。 如 果 用 户 选中 了 “到 
所 有 服务 器 ” 单 选 按钮 ， 则 服务 器 会 将 区 域 信息 发 送 到 与 之 连接 的 所 有 DNS 服务 器 上 。 如 
果 用 户 选中 “只 有 在 “名 称 服务 器 ”选项 卡 中 列 出 的 服务 器 ” 单 选 按钮 ， 则 区 域 信息 只 发 送 
到 在 “名 称 服务 器 ”选项 卡 中 列 出 的 服务 器 。 如 果 选 中 了 “只 允许 到 下 列 服务 器 ” 单 选 按钮 ， 
可 以 指定 允许 从 该 区 域 接受 区 域 复制 的 其 他 服务 器 。 
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(3) 选中 了 “只 人 允许 到 下 列 服务 器 ” 单 选 按钮 后 ， 需 要 用 户 在 “ 卫 地 址 ”文本 框 中 输入 
希望 指定 的 服务 器 的 他 地 址 ， 然 后 单 击 “添加 ”按钮 将 该 瑟 地 址 添加 到 服务 器 列表 框 中 。 

(4) 如 果 用 户 希 望 该 区 域 改动 时 , 其 他 的 辅助 服务 器 能 够 自动 接受 更 新 通知 , 可 单 击 “ 通 
知 ” 按 钮 打开“ 通知 ”对 话 框 ， 如 图 13-20 所 示 。 
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图 13-19 “区 域 复制 ”选项 卡 图 13-20 “通知 ”对 话 框 


(5) 在 “通知 ”对 话 框 ， 首 先 选 中 “自动 通知 ” 复 选 框 ， 以 便 激活 该 功能 。 然 后 用 户 还 
需要 在 区 域 更 改 时 创建 通知 其 他 DNS 服务 器 的 列表 。 如 果 用 户 选 择 使 用 默认 的 “在 “名 称 
服务 器 ”选项 卡 上 列 出 的 服务 器 ” 单 选 按钮 ， 则 只 允许 在 通知 列表 中 包含 那些 在 “名 称 服务 
器 ”选项 卡 上 按 IP 地 址 显示 的 服务 器 。 如 果 用 户 希 望 直接 指定 通知 列表 ， 需 选中 “下 列 服 
务 器 ” 单 选 按钮 ， 通 过 “添加 ”按钮 将 指定 的 服务 器 卫 地 址 添加 到 服务 器 通知 列表 框 中 。 

(6) 完成 设置 后 ， 单 击 “ 确 定 ”按钮 结束 设置 操作 。 


13.4.3 启用 DNS 的 反 向 搜索 功能 


在 大 多 数 的 DNS 搜索 中 ， 客 户 机 一 般 执行 正 向 搜索 ， 正 向 搜索 是 基于 存储 在 地 址 资源 
记录 中 的 另 一 台 计 算 机 的 DNS 名 称 的 搜索 。 这 类 查询 希望 将 人 P 地 址 作为 应 答 的 资源 数据 。 
同时 ，Windows Server 2003 中 的 DNS 还 提供 反 向 搜索 过 程 ， 允 许 客户 机 在 名 称 查 询 期 间 使 
用 已 知 的 卫 地址 并 根据 它 的 地 址 搜索 计算 机 名 称 。 反 向 搜索 采取 问答 形式 进行 ,如 “请 告 i 
我 使 用 四 地 址 192.168.0.11 的 计算 机 的 DNS 名 称 ”。 

DNS 最 初 在 设计 上 并 不 支持 这 类 查询 。 支 持 反 向 查询 过 程 可 能 存在 一 个 问题 ， 即 DNS 
名 称 空间 组 织 和 索引 名 称 的 方式 及 人 P 地 址 指派 的 方式 不 同 。 如 果 回 答 以 前 问题 的 唯一 方式 是 
在 DNS 名 称 空 间 中 的 所 有 域 中 搜索 ， 则 反 向 查询 会 花 很 长 时 间 而 且 需 要 进行 很 多 有 用 的 处 
理 。 为 了 解决 该 问题 在 DNS 标准 中 定义 了 特殊 域 , 并 保留 在 Internet DNS 名 称 空间 中 以 提 
供 实 际 可 靠 的 方式 来 执行 反 向 查询 。 为 了 创建 反 向 名 称 空间 ，info.bupt.edu.cn 域 中 的 子 域 是 
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通过 JP 地 址 的 点 分 十 进 制 来 划分 的 。 
因为 与 DNS 名 称 不 同 ， 当 他 地 址 从 左 向 右 读 时 它们 是 以 相反 的 方式 解释 的 ， 所 以 对 于 
每 个 8 位 字 节 值 需要 使 用 域 的 反 序 。 从 左 向 右 读 正 地 址 时 ,是 从 地 址 中 第 一 部 分 的 最 一 般 信 
息 (IP 网 络 地 址 ) 到 最 后 8 位 字 节 中 包含 的 更 具体 信息 (IP 主机 地 址 ), 因此 ,建立 info.bupt.edu.cn 
域 树 时 , 人 P 地 址 8 位 字 节 的 顺序 必须 倒置 。 这 样 安排 以 后 , 在 向 公司 分 配 一 组 特定 或 有 限 的 、 
且 位 于 Internet 定义 的 地 址 类 别 范围 内 的 他 地址 时 ,可 为 公司 提供 DNS 域 树 中 的 较 低层 
分 支 的 管理 。 

如 果 用 户 为 网 际 协议 版 本 6(IPV6) 的 网 络 安装 DNS 并 配置 反 向 搜索 区 域 , 则 用 户 可 在 “新 
建 区 域 ” 向 导 中 指定 一 个 确切 的 名 称 。 它 允许 用 户 在 可 用 于 支持 IPv6 网 络 的 DNS 控制 台中 
创建 反 向 搜索 区 域 ， 该 网 络 使 用 不 同 的 特殊 域名 即 ip6.int 域 。 


在 Windows Server 2003 中 选择 “高 级 ”查看 方式 时 ，DNS 管理 单元 会 为 用 户 提 
供 一 种 配置 子 网 反 向 搜索 “无 类 别 " 区 域 的 方法 。 它 允许 用 户 可 为 一 组 有 限 的 已 分 配 人 
地 址 在 in-addr.arpa 域 中 配置 区 域 ,在 该 地 址 中 非 默认 王子 网 掩 码 与 这 些 地 址 一 起 使 用 。 


如 果 用 户 希 望 DNS 服务 器 能 够 提供 反 向 搜索 功能 ， 以 便 客 户 机 在 名 称 查 询 期 间 使 用 已 
知 的 下 地 址 并 根据 它 的 地 址 搜索 计算 机 名 ， 首 先 需 要 创建 反 向 搜索 区 域 。 

创建 反 向 查找 区 域 的 具体 操作 步骤 如 下 。 

(1) 在 DNS 控制 台 窗 口中 ， 首 先 打开 DNS 服务 器 的 目录 树 ， 然 后 选中 “ 反 向 查找 区 域 ” 
子 节点 ， 选 择 “ 操 作 ”|“ 新 建 区 域 ” 命 令 ， 打 开 “ 新 建 区 域 向 导 ” 对 话 框 。 

(2) 单 击 “ 下 一 步 ”按钮 ， 打 开 “ 区 域 类 型 ”对 话 框 ， 接 着 单 击 “ 下 一 步 ” 按 钮 ， 系 统 
将 打开 “ 反 向 查找 区 域名 称 ” 对 话 框 ， 如 图 13-21 所 示 。 

在 该 对 话 杠 中， 用户 可 以 通过 选中 “网 络 ID ” 单 选 按钮 ， 然 后 输入 DNS 区 域 的 网 络 ID 
的 方式 来 标识 反 向 搜索 区 域 ， 另 外 ， 也 可 以 通过 直接 输入 倒置 的 网 络 ID 名 称 的 方式 来 标识 
反 向 搜索 区 域 。 例如 , 网 络 ID 为 189.56.11, 则 用 户 输 入 的 名 称 应 该 为 11.56.189.in-addr.arpa。 

(3) 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 正 在 完成 新 建 区 域 向 导 ” 对 话 框 ， 在 该 对 话 框 中 ， 向 
导 将 用 户 创建 的 反 向 查找 区 域 的 有 关 信息 显示 出 来 , 如果 用 户 确定 创建 的 新 区 域 符合 的 要 求 ， 
则 可 单 击 “ 完 成 ”按钮 结束 创建 反 向 查找 区 域 的 操作 ， 如 图 13-22 所 示 。 
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13-22 “正在 完成 新 建 区 域 向 导 ” 对 话 框 


图 13-21 “ 反 向 查找 区 域名 称 ” 对 话 框 
用 户 在 DNS 中 建立 了 in-addr.arpa 域 树 后 , 还 要 求 用 户 定义 其 他 资源 记录 (RR) 类 型 ， 如 


指针 (PTR)RR。 这 种 RR 用 于 在 反 向 查找 区 域 中 创建 映射 ， 该 反 向 查找 区 域 一 般 对 应 于 其 正 


向 查找 区 域 中 主机 的 DNS 计算 机 名 的 主机 (A) 命 名 RR。 


下 面 介绍 如 何 创建 指针 资源 记录 ， 其 具体 操作 步骤 如 下 。 
(1) 在 DNS 控制 台 窗 口 的 DNS 域 树 中 选 定 新 建 的 反 向 查找 区 域 192.168.0.x.Sunet, 然后 


选择 “操作 ”|“ 新 建 指针 ”命令 ， 如 图 13-23 所 示 。 
(2) 系统 将 打开 “新 建 资 源 记 录 ” 对 话 框 ， 在 “新 建 资源 记录 ”对 话 框 中 ， 用 户 需要 在 


“主机 四 号 ”文本 框 中 输入 希望 作为 反 向 查找 区 域 主机 的 他 号 ， 本 例 输入 的 是 本 机 DNS 服 
务 器 的 中 号, 它 的 亿 号 为 11。 然 后 , 用户 还 必须 在 “主机 名 ”文本 框 中 输入 该 主机 的 名 称 。 


男 外 ， 用 户 还 可 以 通过 “浏览 ”按钮 直接 在 域 中 指定 主机 ， 如 图 13-24 所 示 。 
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图 13-23 ”在 反 向 查找 区 域 中 创建 指针 13-24 


(3) 单 击 “ 确 定 ” 按 钮 后 ， 系 统 将 自动 为 反 向 查找 区 域 创建 指针 记录 。 
13.5 测试 DNS 


“新 建 资源 记录 ”对 话 框 


13.5.1 DNS 正 向 解析 测试 
(1) 在 客户 端 打开 “开始 ”菜单 ， 选 择 “ 运 行 ”命令 ， 在 弹出 的 对 话 框 中 输入 cmd， 打 
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开 命令 窗口 。 
(2) 输入 ping www.buptsie.com。 观 察 是 否 获得 了 主机 的 卫 地 址 ， 或 者 是 否 有 丢 包 现象 ， 
主要 是 指 参数 Lost=x 的 x 值 是 否 为 零 。 如 果 为 零 ， 则 连接 正常 ， 否 则 ， 连 接 不 畅 或 是 没有 连 


接 上 ， 如 图 13-25 所 示 。 


13-25 DNS 正 向 解析 测试 结果 


从 图 13-25 中 可 以 看 出 Lost=0， 说 明 无 丢 包 率 ， 获 得 了 域名 www.buptsie.com 所 对 应 的 
卫 地 址 ，DNS 解析 正确 。 


13.5.2 DNS 反 向 解析 测试 


反 向 解析 测试 主要 是 测试 DNS 服务 器 是 否 能 够 提供 名 称 解析 功能 。 方 法 如 下 。 
(1) 在 客户 端 打开 “开始 ”菜单 ， 选 择 “ 运 行 ”命令 ， 在 打开 的 对 话 框 中 输入 cmd， 打 
开 命 令 窗口 。 


(2) 输入 ping -a 192.168.0.11， 以 监测 DNS 服务 器 是 否 能 够 将 瑟 地 址 解析 成 主机 名 ， 如 


图 13-26 所 示 。 


图 13-26 ”DNS 反 向 解析 测试 结果 
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13.5.3 ”使 用 nslookup 进行 测试 


使 用 nslookup 正 向 解析 测试 的 方法 是 在 命令 行 输入 nslookup www.buptsie.com， 按 回 车 
键 后 即 可 获得 域名 的 卫 地 址 ， 如 图 13-27 所 示 。 


13-27 ”使 用 nslookup 检测 DNS 正 向 解析 


反 向 解析 测试 方法 的 操作 正好 相反 , 在 命令 行 输入 nslookup 192.168.0.11, 按 回 车 键 后 即 
可 获得 域名 ， 如 图 13-28 


图 13-28 ”使 用 nslookup 检测 DNS 反 向 解析 


另外 ，nslookup 命令 还 可 以 在 交互 状态 下 运行 。 方 法 是 直接 在 命令 行 中 输入 nslookup 并 
按 回 车 键 。 有 关 nslookup 交互 状态 下 的 解析 方法 可 以 参考 有 关 资 料 ， 这 里 不 再 详细 介绍 。 
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DHCP 服 务 属 的 
配置 和 管理 
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DHCP 是 一 种 TCP/IP 协议 标准 ， 旨 在 通过 服务 器 来 集中 管理 网 
络 上 的 IP 地址 和 其 他 相关 配置 信息 ， 以 减少 管理 地 址 配置 的 复杂 性 ， 
实现 对 网 络 中 的 客户 机 进行 集中 、 统 一 的 管理 。 

Windows Server 2003 提供 的 DHCP 服务 允许 服务 器 履行 DHCP 
服务 器 的 职责 并 在 网 络 上 配置 DHCP 的 客户 机 , 使 整个 网 络 中 的 计算 
机 都 由 DHCP 服务 器 来 动态 分 配 IP 地 址 。 当 客户 机 登录 Windows 
Server 2003 服务 器 时 ， 客 户 机 会 向 服务 器 发 出 一 个 地 址 请 求 ， 然 后 
DHCP 服务 器 将 根据 地 址 池 中 的 地 址 分 配 情况 为 该 请 求 提供 一 个 未 被 
分 配 的 IP 地 址 ， 作 为 该 客户 机 的 临时 IP。 这 样 该 客户 机 便 可 以 通过 
分 配 的 IP 地 址 与 网 络 中 的 其 他 计算 机 进行 连接 并 实现 资源 共享 。 而 当 
客户 机 关闭 计算 机 或 重新 启动 时 ， 将 自动 释放 该 IP 地 址 以 便 DHCP 
服务 器 收回 。 
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14.1 DHCP 概述 


DHCP 是 “动态 主机 配置 协议 ”(Dynamic Host Configuration Protocol) 的 简写 ， 是 一 个 简 
化 主机 他 地 址 分 配 管理 的 TCP/IP 协议 DHCP 可 以 为 连接 到 TCP/IP 网 络 的 系统 提供 网 络 配 
置信 息 。 网 络 上 的 主机 作为 DHCP 客户 端 可 以 从 网 络 中 的 DHCP 服务 器 下 载 网 络 的 配置 信息 ， 
这 些 信息 包括 人 P 地 址 、 子 网 掩 码 、 网 关 、DNS 服务 器 和 代理 服务 器 地 址 。 通 过 使 用 DHCP 
服务 器 ， 不 再 需要 手工 设 定 网 络 配 置信 息 ， 从 而 为 网 络 中 集中 管理 不 同 的 系统 带 来 了 方便 ， 
网 络 管理 员 可 以 通过 配置 DHCP 服务 器 来 实现 对 网 络 中 不 同系 统 的 网 络 配置 。 

DHCP 的 原理 是 : 当 网 络 内 配置 了 DHCP 的 计算 机 一 开机 ， 就 会 强制 发 送 一 个 有 限 地 址 
广播 (32 位 全 为 1 的 他 地 址 即 255.255.255.255 被 称 为 有 限 广 播 地 址 , 对 此 地 址 的 广播 称 为 有 
限 地 址 广播 或 本 地 网 络 广播 )。 本 地 网 络 中 的 DHCP 服务 器 收 到 广播 后 ， 会 根据 收 到 的 物理 
地 址 (Physical Address) 在 服务 器 上 查找 相应 的 配置 ， 并 从 划 定 的 他 区 中 发 送 某 个 他 地址 、 附 
加 选项 (如 租用 到 期 时 间 等 ) 及 子 网 掩 码 、 网 关 和 DNS 等 信息 给 该 计算 机 ， 该 计算 机 收 到 响应 
后 还 要 发 送 一 条 注册 消息 ， 以 告诉 服务 器 该 卫 已 被 租用 ， 防 止 IP 地 址 冲突 。 整 个 注册 过 程 
实际 上 是 一 套 相当 复杂 的 程序 ， 双 方 要 进行 多 次 的 信息 交换 ， 最 终 才 能 注册 成 功 。 注 册 成 功 
后 该 计算 机 就 可 以 直接 上 网 了 。 

DHCP 服务 器 支持 以 下 3 种 方式 的 卫 地 址 分 配 : 自动 、 动 态 和 手动 方式 。 自 动 方式 为 主 
机 分 配 永久 性 的 他 地址; 手动 方式 是 由 管理 员 专 门 指定 他 地 址 ; 动态 方式 是 在 主机 需要 人 p 
地 址 的 时 候 ， 从 人 P 地 址 区 中 分 配 一 个 了 王 地 址 让 主机 租用 ， 用 完 后 可 以 自动 释放 该 卫 地址 。 


14.1.1 何 时 使 用 DHCP 服务 器 


在 网 络 内 使 用 DHCP 服务 器 一 般 适 合 于 以 下 两 种 情况 。 
(1) 也 地 址 有 限 ， 而 且 租用 他 地 址 的 主机 在 同一 个 时 间 段 内 不 是 很 多 。 
例如 说 某 个 办 公 局 域 网 内 有 50 台 计 算 机 , 但 目前 只 有 30 个 下 地址 可 供 使 用 , 而 且 在 该 

局 域 网 内 ， 同 时 上 网 的 计算 机 一 般 来 说 不 超过 30 台 ， 这 时 就 可 以 配置 一 台 DHCP 服务 器 来 
动态 管理 该 局 域 网 内 的 计算 机 的 下 地址 分 配 。 

(2) 大 型 网 络 ， 且 网 络 内 的 计算 机 用 户 不 固定 。 

一 般 来 说 , 目前 在 设计 中 小 型 的 网 络 时 采用 的 都 是 用 手动 方式 分 配 固定 的 人 地址, 因为 
这 样 不 容易 造成 他 地 址 冲突 ,管理 起 来 非常 方便 ， 当 然 ， 这 是 从 方便 管理 的 角度 来 说 的 。 在 
大 型 网 络 中 ， 每 个 基于 TCP/IP 协议 的 网 络 主机 (Host) 都 需要 一 个 唯一 确定 的 32 位 人 P 地 址 来 
与 网 络 通信 ， 如 果 每 台 主 机 的 卫 地 址 都 用 手工 设 定 的 话 ， 工 作 量 将 是 不 可 想象 的 , 而 且 容易 
产生 了 P 地 址 冲突 。 如 果 这 种 网 络 采 用 DHCP 服务 器 模式 进行 人 P 地 址 设 定 ， 只 需 在 服务 器 端 
进行 相应 的 设 定 ， 而 不 需 管 网 络 中 的 主机 人 P 是 如 何 设 定 的 ， 则 可 大 大 简化 人 P 地 址 的 设 定 工 
作 , 节省 管理 员 的 工作 量 。 例如 也 地址 为 A 类 的 网 络 (电信 和 网络), 网 络 内 上 网 的 用 户 不 固定 ， 
要 在 网 络 中 添加 和 删除 网 络 主机 或 要 重新 配置 网 络 参数 时 , 使 用 手工 分 配 卫 地 址 的 方式 显然 


不 合适 ， 这 时 就 要 考虑 使 用 DHCP 服务 器 来 管理 网 络 中 计算 机 的 全 分 配 。 
14.1.2 DHCP 地 址 租约 方式 


DHCP 服务 器 在 工作 的 时 候 是 以 地 址 租约 的 方式 向 客户 端 提供 人 P 地址 分 配 服务 , 它 一 般 
有 两 种 方 配方 式 。 
1. IP 地 址 租 期 约定 


卫 地 址 租 期 约定 是 指 当 一 台 DHCP 客户 机 租用 到 一 个 人 P 地 址 后 , 它 有 一 个 约定 的 租 期 。 
当 DHCP 客户 机 向 DHCP 服务 器 租用 到 了 P 地 址 后 ， 客 户 机 可 以 使 用 该 瑟 地 址 一 段 时 间 ， 当 
使 用 时 间 达 到 租用 周期 的 一 半 时 ， 客 户 机 必须 向 DHCP 服务 器 提出 续 约请 求 ， 请 求 成 功 后 可 
以 继续 使 用 该 人 P 地 址 ， 如 果 客 户 机 没有 续 约 或 续 约 不 成 功 ， 服 务 器 就 会 将 该 卫 地 址 回收 ， 
分 配给 其 他 DHCP 客户 机 使 用 .当然 原 DHCP 客户 机 还 继续 需要 下 地 址 时 , 它 还 可 以 向 DHCP 
服务 器 重新 租用 新 的 他 地址 。 这 种 人 P 地 址 分 配方 式 , 可 以 很 好 地 解决 他 地 址 不 够 用 的 问题 ， 
是 在 网 络 中 配置 DHCP 服务 器 的 最 重要 原因 。 

2. IP 地 址 被 永久 租用 


根据 需要 ， 一 些 客户 机 必须 永久 占用 一 个 IP 地 址 ， 如 网 络 中 的 WEB 服务 器 ， 它 的 中 
地 址 不 能 随便 被 更 改 ， 所 以 ， 当 这 种 客户 机 向 DHCP 服务 器 租用 到 一 个 PP 地 址 后 ， 这 个 地 
址 就 永久 地 分 配给 这 个 DHCP 客户 机 使 用 ， 这 样 的 DHCP 客户 机 就 不 必 频 繁 地 向 DHCP 服 
务 器 提出 续 约请 求 。 


14.2 创建 DHCP 服务 器 


创建 DHCP 的 具体 步骤 如 下 。 

(1) 打开 “开始 ”菜单 ， 选 择 “ 程 序 ”| “管理 工具 ”|“ 配 置 您 的 服务 器 向 导 ” 命 令 ， 启 
动 “ 配 置 您 的 服务 器 向 导 ”， 如 图 14-1 所 示 。 

(2) 直接 单 击 “ 下 一 步 ” 按 钮 ， 界 面 如 图 14-2 所 示 。 
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(3) 系统 会 自动 扫描 当前 开启 的 服务 及 其 状态 ， 根 据 服务 器 硬件 配置 所 需 时 间 也 会 不 


同 ， 一 般 为 2 分 钟 左右 ， 如 图 14-3 所 示 。 
(4) 如 果 本 机 没有 开启 DHCP 服务 ， 则 在 服务 器 角色 中 显示 DHCP 服务 器 已 配置 状态 为 


“ 否 ”， 如 图 14-4 所 示 。 
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(5) 在 上 面 窗 口中 选中 “DHCP 服务 器 ”， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 开 始 安装 DHCP 
服务 器 ， 并 自动 建立 一 个 新 的 作用 域 ， 如 图 14-5 所 示 。 

(6) 系统 会 配置 DHCP 服务 组 件 ， 并 自动 安装 到 本 地 计算 机 的 硬盘 中 。 当 组 件 安装 完毕 
后 系统 会 自动 启用 “新 建 作用 域 向 导 ”， 让 用 户 建立 一 个 新 的 作用 域 ， 如 图 14-6 所 示 。 
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(7) 第 一 步 是 为 建立 的 作用 域 起 一 个 名 字 ， 如 图 14-7 所 示 。 

(8) 接着 ,配置 作 用 域 的 他 地 址 范围 ， 设 置 起 始 人 P 地 址 和 结束 他 地 址 ， 以 及 子 网 掩 码 
的 长 度 及 设置 。 可 以 在 子 网 掩 码 的 长 度 处 输入 数字 来 快速 定位 子 网 掩 码 的 参数 。 这 里 设置 
DHCP 作用 域 的 卫 地 址 为 192.168.0.190 到 192.168.0.220， 如 图 14-8 所 示 。 
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14.3 配置 DHCP 服务 器 


14.3.1 配置 作用 域 


用 户 在 创建 了 新 的 作用 域 之 后 ， 还 需要 对 作用 域 选项 进行 一 些 相 关 的 配置 才能 正常 启动 
作用 域 中 众多 的 选项 功能 。 
1. 配置 作用 域 选项 


要 配置 作用 域 选项 ， 可 以 参照 下 面 的 操作 步 又。 

(1) 打开 “开始 ”菜单 ， 选 择 “ 管 理工 具 ”| DHCP 命令 ,打开 DHCP 控制 台 窗 口 。 在 目 
录 树 中 单 击 服务 器 节点 并 展开 “作用 域 ” 节 点 及 其 子 节点 。 右 击 选 定 的 “作用 域 选项 ”节点 ， 
从 弹出 的 快捷 菜单 中 选择 “配置 选项 ”命令 ,打开 “作用 域 选 项 ”对 话 框 ， 选 择 “ 常 规 ” 选 
项 卡 ， 如 图 14-9 所 示 。 

(2) 在 “可 用 选项 ” 列表 框 中 ， 当 用 户 选中 了 某 选项 前 面 的 复 选 框 时 ， 系 统 将 自动 在 “ 数 
据 输入 ”选项 区 域 中 打开 该 选项 对 应 的 设置 。 例 如 ， 选 定 “005 名 称 服务 器 ” 复 选 框 后 ， 在 
“数据 输入 ”选项 区 域 中 会 让 用 户 输入 名 称 服务 器 的 新 下 地 址 及 服务 器 名 称 。 用 户 在 “Pp 
地 址 ”文本 框 中 输入 新 的 四 地址, 然后 单 击 “ 添 加 ”按钮 将 该 地 址 添加 到 名 称 服务 器 列表 中 。 
用 户 也 可 以 在 “服务 器 名 ”文本 框 中 输入 某 台 服务 器 的 名 称 ， 然 后 单 击 “ 解 析 ” 按 钮 ， 系 统 
会 自动 将 该 服务 器 对 应 的 他 地 址 解析 到 “JP 地址 ”文本 框 中 。 

(3) 当 对 所 选 定 的 作用 域 选 项 进行 正确 设置 后 ， 单 击 “ 确 定 ”按钮 即 可 使 设置 生效 。 

(4) 对 常规 选项 设置 完毕 后 ， 可 以 单 击 “高 级 ”标签 ， 打 开 “ 高 级 ”选项 卡 ， 如 图 14-10 
所 示 。 
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(5) 在 “高 级 ”选项 卡 中 ， 用 户 可 以 对 作用 域 的 高 级 选项 进行 配置 。 其 中 在 “供应 商 类 
别 ? 下 拉 列 表 框 中 有 4 种 选项 可 供 选 择 :“DHCP 标准 选项 ” “IMicrosoft 98 选项 ” “Microsoft 
2000 选项 ”和 “Microsoft 选项 ”。 当 用 户 选择 了 一 种 供应 商 类 别 后， 其 对 应 的 可 选项 将 显 
示 在 “可 用 选项 ”列表 框 中 。 如 果 用 户 已 经 创建 了 DHCP 服务 器 以 及 作用 域 的 话 ， 则 在 “用 
户 类 别 ” 下 拉 列 表 框 中 ， 系 统 会 默认 设置 该 选项 为 “默认 用 户 类 别 ”。 

(6) 如 同 在 “常规 ”选项 卡 中 的 设置 操作 一 样 ， 用 户 在 “可 用 选项 ”列表 框 中 选 定 某 选 
项 后 ， 可 在 “数据 输入 ”选项 区 域 中 对 该 选项 进行 相应 的 设置 。 

(7) 完成 所 有 设置 后 ， 单 击 “ 确 定 ” 按 钮 使 设置 生效 。 

2. 删除 作用 域 


删除 作用 域 就 是 从 DHCP 服务 器 中 彻底 地 清除 作用 域 中 的 中 地 址 对 DHCP 客户 的 分 配 。 
但 是 ， 在 删除 作用 域 之 前 请 务必 停 用 作用 域 足够 长 的 时 间 ， 以 便 能 将 客户 机 转移 到 不 同 的 作 
用 域 。 一 旦 所 有 客户 机 均 已 移动 或 强制 在 另 一 个 作用 域 中 搜索 了 ， 管 理 员 就 可 以 安全 地 删除 
非 活 动 的 作用 域 。 

要 删除 作用 域 ， 可 以 打开 DHCP 控制 台 窗口 ， 在 控制 台 目 录 树 中 展开 要 操作 的 服务 器 ， 
右 击 要 删除 的 作用 域 ， 然 后 从 弹出 的 快捷 菜单 中 选择 “删除 ”命令 即 可 。 


14.3.2 ”创建 超级 作用 域 


在 Windows Server 2003 中 ， 用 户 除了 可 以 使 用 DHCP 服务 器 中 标准 的 作用 域 来 进行 地 
址 分 配 和 地 址 管理 外 ， 还 可 以 使 用 超级 作用 域 来 更 好 地 分 配 和 管理 网 络 地 址 。 因 为 ， 超 级 作 
用 域 允 许 用户 将 几 个 不 同 的 作用 域 在 逻辑 上 组 合 在 一 起 ， 并 使 用 单一 的 作用 域名 称 ， 这 样 ， 
通过 超级 作用 域 用 户 就 可 以 对 多 个 逻辑 子 网 进行 管理 。 


1. 超级 作用 域 的 概念 


超级 作用 域 是 可 以 通过 DHCP 控制 台 创 建 和 管理 的 Windows Server 2003 的 DHCP 服务 
器 的 管理 功能 。 使 用 超级 作用 域 , 可 以 将 多 个 作用 域 组 合 为 单个 管理 实体 ,利用 此 功能 , DHCP 
服务 器 可 以 在 使 用 多 个 逻辑 他 网 络 的 单个 物理 网 段 ( 如 单个 以 太 网 的 局 域 网 段 ) 支 持 DHCP 客 
户 机 。 在 每 个 物理 子 网 或 网 络 上 使 用 多 个 逻辑 人 P 网 络 时 ， 这 种 配置 通常 称 为 多 网 。 它 还 能 
持 位 于 DHCP 和 BOOTP 中 继 代理 远 端的 远程 DHCP 客户 机 ， 并 在 中 继 代理 远 端 的 网 络 上 使 
用 多 网 配置 。 

在 多 网 配置 中 , 可 以 使 用 DHCP 超级 作用 域 来 组 合并 激活 网 络 上 使 用 的 单独 作用 域 范围 
内 的 人 地址。 在 这 种 情况 下 , DHCP 服务 器 可 以 为 单个 物理 网 络 上 的 客户 机 激活 并 提供 来 自 
多 个 作用 域 的 租约 。 

超级 作用 域 可 以 解决 多 网 结构 中 的 某 种 DHCP 配置 问题 。 例如， 当前 活动 作用 域 的 可 用 
地 址 池 几 乎 已 耗 尽 ， 而 还 需要 向 网 络 添加 更 多 的 计算 机 。 最 初 的 作用 域 包括 指定 地 址 类 别 的 
单个 他 网 络 的 一 段 完 全 可 寻 址 范围 , 需要 使 用 另 一 个 他 网 络 地 址 范围 以 扩展 同一 物理 网 段 的 地 
址 空间 。 

2. 创建 超级 作用 域 


由 于 超级 作用 域 可 以 包含 其 他 分 离 的 作用 域 的 他 地址 ， 所 以 当 管理 员 需 要 使 用 另外 一 
个 下 网 络 地 址 范围 以 扩展 同一 个 物理 网 段 的 地 址 空间 时 ， 就 可 以 通过 创建 超级 作用 域 来 实现 。 


服务 器 要 至 少 包含 一 个 已 创建 的 作用 域 ， 新 建 超级 作用 域 的 命令 才能 使 用 。 


要 创建 超级 作用 域 ， 可 以 参考 以 下 步骤 。 

(1) 打开 DHCP 控制 台 窗 口 ， 在 控制 台 目 录 树 中 单 击 要 创建 超级 作用 域 的 DHCP 服务 
器 。 选择“ 操作 ”| “新建 超级 作用 域 ” 命 令 , 打开 “新 建 超级 作用 域 向 导 ” 对 话 框 , 如 图 14-11 
所 示 。 

(2) 单 击 “ 下 一 步 ” 按 钮 ， 在 打开 的 “超级 作用 域名 ”对 话 框 中 输入 超级 作用 域 的 名 称 ， 
如 图 14-12 所 示 。 
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图 14-11 “新 建 超级 作用 域 向 导 ” 对 话 框 图 14-12 “超级 作用 域名 ”对 话 框 


(3) 单 击 “下 一 步 ”按钮 ， 打 开 “ 选 择 作用 域 ”对 话 框 ， 在 该 对 话 框 中 可 以 选择 该 超级 
作用 域 所 要 包含 的 成 员 作用 域 (或 称 子 作用 域 )。 在 “可 用 作用 域 ”列表 中 选择 作用 域 时 ， 如 
果 需 要 选择 多 个 作用 域 , 可 以 在 按 下 Shift 键 的 同时 单 击 作用 域 来 选择 多 个 连续 作用 域 , 或 在 
按 下 Ctrl 键 的 同时 依次 单 击 作用 域 来 选择 多 个 不 连续 作用 域 ， 如 图 14-13 所 示 。 
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图 14-13 ”选择 所 要 包含 的 作用 域 


(4) 单 击 “ 下 一 步 ” 按 钮 ， 系 统 将 打开 “创建 完成 ”对 话 框 ， 显 示 出 所 设置 的 作用 域 选 
项 ， 单 击 “ 完 成 ”按钮 即 可 完成 创建 过 程 。 


14.3.3 设置 DHCP 服务 器 的 属性 


配置 一 台 DHCP 服务 器 的 属性 在 创建 该 服务 器 的 整个 过 程 中 是 最 关键 的 一 步 。 合理 的 属 
性 配置 能 够 保证 该 服务 器 正常 、 顺 利 地 运行 ， 也 只 有 这 样 ，DHCP 服务 器 才能 对 客户 机 的 地 
址 请 求 作出 正确 应 答 一 一 为 客户 机 分 配 一 个 可 用 的 动态 人 P 地 址 。 对 DHCP 服务 器 的 属性 中 
一 些 关 键 项 目 进行 合理 地 设置 是 用 户 完成 创建 一 台 DHCP 服务 器 的 必要 工作 。 

下 面 将 介绍 如 何 对 DHCP 服务 器 的 属性 进行 设置 。 


1. 设置 “常规 ”选项 卡 

(1) 打开 “开始 ”菜单 ， 选 择 “ 管 理工 具 ”| DHCP 命令 ， 打 开 DHCP 控制 台 窗口 。 右 击 
选 定 的 服务 器 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 该 服务 器 的 “属性 ”对 话 框 ， 
如 图 14-14 所 示 。 


14-14 ”服务 器 属性 对 话 框 


(2) 在 “常规 ”选项 卡 中 ， 用 户 可 以 选中 “自动 更 新 统计 信息 间隔 ” 复 选 框 ， 然 后 通过 
“小 时 ”和 “分 钟 ”微调 器 调整 统计 信息 的 刷新 时 间 间 隔 。 这 样 DHCP 服务 器 将 按 用 户 设 定 
的 时 间 间 隔 自 动 统计 信息 。 

(3) 如 果 用 户 要 启用 DHCP 日 志 记 录 ， 使 该 日 志 记录 每 天 都 将 服务 器 的 活动 记录 到 一 
个 文件 中 以 供用 户 查 询 ， 可 以 选中 “启用 DHCP 审核 记录 ” 复 选 框 。 另 外 ， 如 果 选 中 “ 显 
示 BOOTP 表 文件 夹 ” 复 选 框 , 则 可 以 使 用 户 在 DHCP 控制 台 窗口 中 查看 到 BOOTP 表 文件 
夹 消息 。 

2. 设置 DNS 选项 卡 

(1) 在 选 定 的 DHCP 服务 器 的 “属性 ”对 话 框 中 打开 DNS 选项 卡 ， 如 图 14-15 所 示 。 
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(2) 在 DNS 选项 卡 中 ,如 果 用 户 希 望 DNS 服务 器 的 正 向 和 反 向 查找 能 够 在 客户 从 DHCP 
服务 器 那里 获得 租约 时 自动 更 新 ， 则 可 以 选中 “根据 下 面 的 设置 启用 DNS 动态 更 新 ” 复 选 
框 。 该 功能 还 包括 两 种 可 选 的 方式 : 根据 客户 请 求 更 新 方式 和 总 是 动态 更 新 DNS 和 PTR 记 
录 的 方式 。 用 户 可 以 根据 需要 选择 “只 有 当 DHCP 客户 端 请 求 时 才 动态 更 新 DNSA 和 PTR 
记录 ” 单 选 按钮 或 “总 是 动态 更 新 DNSA 和 PTR 记录 ” 单 选 按钮 中 的 任意 一 个 ， 以 便 使 用 
该 方式 启用 DNS 的 客户 信息 更 新 功能 。 

3. 设置 “高 级 ”选项 卡 


(1) 在 选 定 的 DHCP 服务 器 的 “属性 ”对 话 框 中 打开 “高 级 ”选项 卡 ， 如 图 14-16 所 示 。 

(2) 在 “高 级 ”选项 卡 中 ， 如 果 用 户 希 望 DHCP 在 把 人 P 地 址 租 给 客户 之 前 ，DHCP 服务 
器 能 够 对 将 要 分 配 的 卫 地 址 进行 一 定 次 数 的 冲突 检测 ， 可 以 通过 “冲突 检测 次 数 ”微调 器 来 
调整 冲突 检测 的 次 数 ， 以 使 DHCP 按照 指定 的 次 数 对 P 地 址 进行 检测 。 

(3) 如 果 用 户 希 望 更 改 DHCP 中 的 数据 库 和 审核 文件 在 硬盘 中 的 存储 位 置 ， 可 以 分 别 在 
“审核 日 志 路 径 ”文本 框 和 “数据 库 路 径 ” 文 本 框 中 输入 指定 的 完整 路 径 ， 或 者 单 击 “ 浏 览 ” 
按钮 ， 从 打开 的 窗口 中 为 审核 日 志 或 数据 库 选择 一 个 存储 路 径 。 

(4) 如 果 用 户 需要 更 改 DHCP 服务 器 连接 的 绑 定 ， 可 以 单 击 “ 绑 定 ” 按 钮 ， 系 统 将 打开 
“ 绑 定 ” 对 话 框 。 在 该 对 话 框 中 , 用 户 可 以 选择 DHCP 服务 器 为 客户 提供 服务 所 支持 的 连接 ， 
单 击 “ 确 定 ”按钮 完成 所 有 局 性 设置 操作 ， 如 图 14-17 所 示 。 
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14.4 管理 DHCP 服务 器 


在 DHCP 服务 器 运行 过 程 中 , DHCP 服务 的 网 络 和 DHCP 服务 器 本 身 都 有 可 能 出 现 这 样 
或 那样 的 问题 ， 需 要 管理 员 对 DHCP 服务 器 进行 断 开 、 人 停止、 暂停、 重新 开始 等 处 理 ， 以 便 


解决 问题 。 例 如 ，WINS 服务 器 出 现 名 称 解析 错误 时 ， 管 理 员 就 需要 暂停 WINS 服务 ， 然 后 
查看 DHCP 数据 库 、 作 用 域 和 选项 等 内 容 找到 解决 问题 的 办 法 。 

要 处 理 WINS 服务 器 ， 可 以 参照 下 面 的 步骤 。 

(1) 打开 DHCP 控制 台 窗 口 ， 在 控制 台 目录 树 中 ， 单 击 要 处 理 的 DHCP 服务器。 

(2) 要 对 服务 器 进行 停止 和 启动 等 操作 ， 可 以 打开 “操作 ”|“ 所 有 任务 ” 子 菜单 ， 然 后 
选择 下 列 命 令 之 一 。 

e 要 启动 DHCP 服务 ， 请 单 击 “ 开 始 ”命令 。 

e 要 停止 DHCP 服务 ， 请 单 击 “ 停 止 ”命令 。 

e 要 中 断 DHCP 服务 ， 请 单 击 “ 和 暂停” 命令 。 

e 要 重新 开始 DHCP 服务 ， 请 单 击 “ 重 新 开始 ”命令 。 

(3) 在 暂停 DHCP 服务 之 后 ， 将 出 现 “恢复 ”命令 选项 ， 单 击 该 命令 选项 可 立即 继续 
WINS 服务 。 要 断 开 服务 器 的 连接 ， 可 以 选择 “操作 ”| “删除 ”命令 ， 出 现 信息 提示 框 之 后 ， 
单 击 “ 是 ”按钮 即 可 。 
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Windows Internet 名 称 服务 (WINS) 提 供 了 动态 复制 数据 库 服务 ， 
此 服务 可 以 将 NetBIOS 名 称 注册 并 解析 为 网 络 上 使 用 的 IP 地 址 。 
Windows Server 2003 提供 了 WINS 服务 ， 它 启用 服务 器 计算 机 来 充 
当 NetBIOS 名 称 服务 器 并 注册 和 解析 网 络 上 的 WINS 客户 名 称 。 
WINS 与 DHCP 通常 要 一 起 工作 , 当 使 用 者 向 DHCP 服务 器 请 求 一 个 
IP 地 址 时 , DHCP 服务 器 所 提供 的 IP 地 址 被 WINS 服务 器 记录 下 来 ， 
使 WINS 可 以 动态 地 维护 计算 机 名 称 地 址 与 IP 地 址 的 数据 库 。 
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15.1 WINS 概述 


WINS(Windows Intemet Name Service) 是 由 Microsoft 提出 来 的 一 种 网 络 名 称 转换 服务 。 
虽然 , DNS 服务 也 可 以 执行 类 似 的 功能 ,但 它 是 将 诸如 www. microsoft.com 类 型 的 完全 合格 
的 域名 地 址 转换 为 计算 机 可 以 识别 的 下 地址, 而 WINS 是 将 诸如 Poweruser 类 型 的 地 址 转换 
为 人 P 地 址 。 本 节 将 介绍 WINS 的 相关 概念 以 及 WINS 的 工作 原理 。 


15.1.1 WINS 的 概念 


Windows Intemet 命名 服务 (WINS) 为 注册 和 查询 网 络 上 的 计算 机 和 用 户 组 NetBIOS 名 称 
的 动态 映射 提供 了 分 布 式 数据 库 。WINS 将 NetBIOS 名 称 映射 为 下 地 址 , 并 设计 解决 路 由 环 
境 的 NetBIOS 名 称 解析 中 所 出 现 的 问题 。WINS 对 于 使 用 TCP/IP 的 NetBIOS 路 由 网 络 中 的 
NetBIOS 名 称 解 析 是 最 佳 选择 。 

早期 版 本 的 Microsoft 操作 系统 使 用 NetBIOS 名 称 来 标识 和 定位 计算 机 及 其 他 共享 或 群 
集资 源 , 要 在 网 络 上 使 用 这 些 资源 需要 注册 或 名 称 解析 。 在 早期 版 本 的 Microsoft 操作 系统 中 ， 
NetBIOS 名 称 对 于 创建 网 络 服务 是 必需 的 。 尽 管 可 以 对 非 TCP/IP 的 网 络 协议 使 用 NetBIOS 
命名 协议 (如 NetBEUI 或 IPX/SPX)， 但 是 Microsoft 仍然 专门 设计 了 WINS 来 支持 TCP/IP 上 
的 NetBIOS (NetBT)。 

WINS 在 基于 TCP/IP 的 网 络 中 简化 管理 NetBIOS 名 称 空 间 。 在 Windows Server 2003 中 ， 
WINS 减少 使 用 NetBIOS 名 称 解析 的 本 地 下 广播 , 并 允许 用 户 很 容易 地 定位 远程 网 络 上 的 
系统 。 因 为 WINS 注册 在 每 次 客户 启动 并 加 入 网 络 时 自动 执行 ， 所 以 ，WINS 数据 库 在 进行 
更 改动 态 地 址 配置 时 也 会 自动 更 新 。 例 如 ， 当 DHCP 服务 器 将 新 的 或 已 更 改 的 人 P 地 址 发 布 
到 启用 WINS 的 客户 计算 机 时 ， 将 更 新 客户 的 WINS 信息 。 这 些 则 不 需要 用 户 或 网 络 管理 员 
进行 手动 更 改 。 


15.1.2 ” WINS 基本 工作 原理 


1. 名 称 注册 


名 称 注册 是 指 WINS 客户 请 求 在 网 络 上 使 用 NetBIOS 名 称 , 该 请 求 可 以 是 请 求 一 个 唯一 


( 专 有 ) 名 称 ， 也 可 以 是 请 求 一 个 组 (共享 ) 名 。NetBIOS 应 用 程序 还 可 以 注册 一 个 或 多 个 名 称 。 
e 相同 他 地 址 的 注册 名 称 


如 果 名 称 HOST-C 已 经 输入 到 数据 库 中 ， 而 且 名 称 人 P 地 址 与 请 求 的 他 地址 相同 , 则 所 


采取 的 操作 取决 于 现 有 名 称 的 状态 和 所 有 权 。 

e 不 同 卫 地 址 的 注册 名 称 

如 果 WINS 数据 库 中 已 经 有 该 名 称 ， 但 人 P 地 址 不 同 ， 则 WINS 服务 器 会 避免 重复 的 名 
称 。 如 果 该 数据 库 项 处 于 被 释放 或 逻辑 删除 状态 ， 则 WINS 服务 器 可 以 分 配 该 名 称 。 但 是 ， 
如 果 该 项 处 于 活动 状态 ， 则 具有 该 名 称 的 节点 就 会 被 质询 ， 以 确定 它 是 否 仍 在 网 络 中 。 

2. 释放 名 称 


当 WINS 客户 计算 机 完成 使 用 特定 的 名 称 并 正常 关机 时 ， 将 释放 其 注册 名 称 。 在 释放 注 
册 名 称 时 ，WINS 客户 会 通知 其 WINS 服务 器 (或 网 络 上 其 他 可 能 的 计算 机 )， 将 不 再 使 用 其 
注册 名 称 。 

如 果 名 称 项 被 标记 为 已 释放 , 则 当 来 自 带 有 相同 名 称 但 卫 地 址 不 同 的 WINS 客户 的 新 
注册 请 求 到 达 时 ，WINS 服务 器 将 立即 更 新 或 修订 已 标记 的 名 称 项 。 因 为 WINS 数据 库 显示 
旧 下 地 址 的 WINS 客户 不 再 使 用 该 名 称 ， 所 以 这 是 可 行 的 。 例如 ， 当 启用 DHCP 的 便携 式 
计算 机 更 改 子 网 时 ， 就 可 能 发 生 这 种 情况 。 

对 于 在 网 络 上 关闭 并 重新 启动 的 客户 , 名 称 释放 常用 于 简化 WINS 注册 。 如 果 计 算 机 在 
正常 关闭 期 间 释放 自己 的 名 称 ， 则 当 计 算 机 重新 连接 时 WINS 服务 器 将 不 会 质询 该 名 称 。 如 
果 没 有 正常 关闭 , 则 带 有 新 卫 地 址 的 名 称 注册 会 导致 WINS 服务 器 质询 以 前 的 注册 。 当 质询 
失败 时 (因为 客户 计算 机 不 再 使 用 旧 的 他 地址) 注册 成 功 。 

在 某 些 情况 下 ， 客 户 不 能 通过 与 WINS 服务 器 联系 来 释放 自己 的 名 称 ， 因 此 必须 使 用 广 
播 释放 名 称 。 当 启用 WINS 的 客户 没有 收 到 WINS 服务 器 的 名 称 释放 确认 就 关闭 时 ， 也 会 发 
生 这 种 情况 。 


3. 更 新 名 称 


WINS 客户 需要 通过 WINS 服务 器 定期 更 新 其 NetBIOS 名 称 注册 。WINS 服务 器 处 理 名 
称 更 新 请 求 与 新 名 称 注册 类 似 。 当 客户 第 一 次 通过 WINS 服务 器 注册 时 ，WINS 服务 器 将 返 
回 带 有 生存 时 间 (TTL) 值 的 消息 , 该 消息 表明 客户 注册 何 时 到 期 或 需要 更 新 。 如 果 到 时 候 还 不 
更 新 ， 则 名 称 注册 将 在 WINS 服务 器 上 到 期 ， 最 终 系 统 便 将 名 称 项 从 WINS 数据 库 中 删除 。 
然而 ， 静 态 WINS 名 称 项 不 会 到 期 ， 因 此 不 需要 在 WINS 服务 器 数据 库 中 更 新 。 

WINS 数据 库 中 项 的 默认 “更 新 闻 隔 ”为 6 天 。 因为 在 过 了 50% 的 TIL 时 间 值 时 , WINS 
客户 将 尝试 更 新 注册 ,所 以 大 多 数 WINS 客户 每 隔 3 天 更 新 一 次 。 在 此 时 间 间 隔 结束 之 前 必 
须 刷 新 名 称 ， 否 则 系统 会 将 其 释放 。WINS 客户 通过 将 名 称 刷新 请 求 发 送 至 WINS 服务 器 来 
刷新 其 名 称 。 

在 大 多 数 情况 下 ， 默 认 值 就 是 相应 的 “更 新 闻 隔 ”。 无 论 何 时 使 用 多 个 WINS 服务 器 ， 
都 应 该 为 所 有 服务 器 复制 伙伴 设置 相同 的 “更 新 闻 隔 ”。 如 果 调整 “更 新 闻 隔 ”不 当 ， 将 会 
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影响 系统 和 网 络 的 性 能 。 
4. 解析 名 称 


WINS 客户 的 名 称 解 析 是 网 络 上 TCP/IP 客户 的 所 有 Microsoft 的 NetBIOS 的 相同 名 称 解 
析 的 扩展 ， 它 解析 网 络 上 的 NetBIOS 名 称 查 询 。 实 际 的 名 称 解 析 方 法 对 用 户 是 透明 的 。 

对 于 Windows Server 2003， 一 旦 使 用 net use 命令 或 类 似 的 基于 NetBIOS 的 应 用 程序 进 
行 查询 时 ，WINS 客户 都 将 使 用 下 列 一 系列 选项 解析 名 称 。 

e 确定 名 称 是 否 多 于 15 个 字符 ， 或 者 是 否 包含 小 数 点 (.)。 如 果 是 这 样 ， 则 向 DNS 查 
询 名 称 。 
确定 名 称 是 否 存储 在 客户 的 远程 名 称 缓存 中 。 
联系 并 尝试 配置 了 WINS 的 服务 器 ， 使 用 WINS 解析 名 称 。 
对 子 网 使 用 本 地 卫 广播 。 
如 果 在 连接 的 “Intemet 协议 (TCP/IP)” 属 性 中 启用 了 “启用 LMHOSTS 搜索 ”功能 ， 
则 检查 Lmhosts 文件 。 
e 检查 Hosts 文件 。 
e 查询 DNS 服务 器 。 


15.2 WINS 服务 器 配置 


当 用 户 了 解 了 WINS 服务 器 的 功能 与 作用 之 后 ， 就 可 以 在 Windows Server 2003 中 创建 
与 配置 WINS 服务 器 了 。 不 过 ， 在 此 之 前 ， 用 户 首先 需要 安装 网 络 组 件 WINS 服务 。 通 常 ， 
在 安装 Windows Server 2003 的 过 程 中 便 可 以 选择 安装 该 组 件 。 在 默认 用 户 已 经 安装 该 组 件 的 
情况 下 ， 下 面 将 介绍 创建 与 配置 WINS 服务 器 方面 的 知识 。 


15.2.1 创建 WINS 服务 器 


为 了 对 WINS 服务 器 进行 管理 ， 管 理 员 必 须 将 WINS 服务 器 添加 到 控制 台 。 默 认 情 况 
下 ,在 安装 了 WINS 服务 并 设置 了 TCP/IP 协议 之 后 ， 系 统 会 自动 将 WINS 服务 器 添加 到 控 
制 台 ， 以 减少 管理 员 的 工作 量 。 但 是 ， 如 果 管 理 员 从 控制 台中 删除 了 本 地 WINS 服务 器 ， 或 
者 要 在 本 地 控制 台中 添加 和 管理 其 他 WINS 服务 器 ， 这 时 就 需要 管理 员 手 动 添加 WINS 服 
务 器 到 控制 台 

要 添加 WINS 服务 器 ， 可 以 参照 下 面 的 步骤 进行 。 

(1) 打开 “开始 ”菜单 ， 选 择 “ 设 置 ”|“ 控 制 面板 ”|“ 添 加 /删除 程序 ”命令 ， 打 开 “ 添 
加 /删除 程序 ”对 话 框 。 
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(2) 单 击 “ 添 加 /删除 Windows 组 件 ”| “组 件 ”， 启动 “windows 组 件 向 导 ”, 单 击 “ 下 
一 步 ”出 现 “Windows 组 件 ” 对 话 框 ， 如 图 15-1 所 示 ， 从 列表 中 选择 “网 络 服务 ”。 

(3) 单 击 “ 详 细 信息 ” 按钮， 打开“ 网络 服务 ”对 话 框 ， 从 列表 中 选取 “Windows Internet 
命名 访问 (WINS)” 组 件 ， 如 图 15-2 所 示 。 
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(4) 单 击 “下 一 步 ” 按 钮 ， 输 入 到 Windows Server 2003 的 安装 源 文件 的 路 径 ， 单 击 “ 确 
定 ”按钮 ， 开 始 安装 WINS 服务 。 

(5) 单 击 “ 完 成 ”按钮 ， 回 到 “添加 /删除 程序 ”对 话 框 后 ， 单 击 “ 关 闭 ” 按 钮 ， 安 装 完 
毕 后 在 管理 工具 中 将 多 了 一 个 “WINS” 控 制 台 。 


15.2.2 添加 WINS 服务 器 


启动 WINS 控制 台 然 后 单 击 左 侧目 录 树 中 的 WINS 选项 ， 选 择 “ 操 作 ”| “添加 服务 器 ” 
命令 ,在 打开 的 “添加 服务 器 ”对 话 框 中 输入 服务 器 名 或 他 地 址 ， 单 击 “确定 ”按钮 ， 这 样 
便 在 WINS 管理 控制 台中 添加 了 一 台 WINS 服务 器 ， 如 图 15-3 所 示 。 
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15-3 添加 WINS 服务 器 


从 图 15-3 中 用 户 可 以 看 到 ， 在 添加 的 服务 器 中 包含 两 个 组 件 : 活动 注册 和 复制 伙伴 。 
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15.2.3 设置 WINS 服务 器 的 属性 


创建 WINS 服务 器 除了 需要 指定 一 台 计算 机 作为 该 服务 器 的 硬件 设备 以 外 ,用 户 还 需要 
对 WINS 服务 器 的 属性 进行 一 些 相关 设置 。 例如 , 指定 WINS 数据 库 的 备份 路 径 、 指 定 WINS 
服务 器 统计 数据 自动 更 新 的 时 间 间 隔 、 是 否 启用 记录 WINS 数据 库 变 化 功能 等 。 因 为 ， 如 果 
没有 正确 的 属性 设置 ，WINS 服务 器 的 诸多 功能 便 无 法 使 用 ， 这 样 的 一 台 WINS 服务 器 也 就 
无 法 满足 网 络 客户 机 的 所 有 需要 。 

下 面 是 设置 WINS 服务 器 属性 的 具体 操作 步骤 。 

(1) 打开 WINS 控制 台 窗 口 ， 在 控制 台 目 录 树 中 右 击 要 设置 属性 的 WINS 服务 器 ， 从 打 
开 的 快捷 菜单 中 选择 “属性 ”命令 ， 系 统 将 打开 其 “属性 ”对 话 框 ， 如 图 15-4 所 示 。 

(2) 在 “属性 ”对 话 框 的 “常规 ”选项 卡 中 ， 选 中 “自动 更 新 统计 信息 间隔 ” 复 选 框 ， 
并 通过 时 间 微 调 器 来 设置 时 间 间 隔 (一 般 要 求 时 间 间 隔 比较 短 )。 这 样 ，WINS 服务 器 就 会 自动 
按照 管理 员 的 设置 ， 定 时 对 网 络 上 的 统计 信息 进行 刷新 了 。 

(3) 为 了 解决 WINS 数据 库 被 损坏 而 导致 网 络 注册 信息 丢失 的 问题 ， 管 理 员 可 以 通过 设 
置 来 备份 WINS 数据 库 。 在 “数据 库 备份 ”选项 区 域 中 ， 单 击 “ 浏 览 ” 按 钮 选择 备份 路 径 或 
者 在 “默认 备份 路 经 ”文本 框 中 直接 输入 备份 路 径 。 如 果 用 户 希望 在 服务 器 关闭 时 系统 自动 
备份 WINS 数据 库 ， 则 可 选中 “服务 器 关闭 期 间 备份 数据 库 ” 复 选 框 。 

(4) 在 WINS 属性 对 话 框 中 打开 “间隔 ”选项 卡 ， 在 该 选项 卡 中 可 以 通过 调整 时 间 微调 
器 的 值 来 设置 记录 更 新 时 间 间 隔 、 记 录 消 失 时 间 间 隔 、 消 失 超 时 时 间 和 验证 时 间 间 隔 。 如 果 
要 使 用 系统 默认 值 ， 可 以 单 击 “还 原 默认 值 ”按钮 ， 如 图 15-5 所 示 。 
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(5) 在 WINS 服务 器 属性 对 话 框 中 打开 “数据 库 验证 ”选项 卡 。 对 于 WINS 服务 器 ， 需 
要 用 户 定 期 地 检查 WINS 数据 库 的 数据 与 网 络 实际 情况 是 否 一 致 ， 以 免 因 不 一 致 而 导致 网 络 
连接 错误 。 要 检测 WINS 数据 库 ， 可 以 在 “数据 库 验证 ”选项 卡 中 选中 “数据 库 验证 间隔 ” 


> 于 VNS 有 名 的 本 针管 理 


复 选 框 ， 然 后 设置 验证 时 间 间 隔 和 开始 时 间 、 每 一 周期 验证 的 最 大 记录 数 和 验证 依据 ， 如 图 
15-6 所 示 。 另 外 ， 用 户 也 可 以 手动 检查 WINS 服务 器 数据 库 的 一 致 性 。 只 要 在 控制 台 目 录 树 
中 右 击 WINS 服务 器 ， 从 弹出 的 快捷 菜单 中 选择 “检查 WINS 数据 库 一致 性 ”命令 ， 出 现 信 
息 提示 框 后 ， 单 击 “ 是 ”按钮 即 可 。 

(6) 在 WINS 服务 器 属性 对 话 框 中 ， 打 开 “ 高 级 ”选项 卡 ， 如 图 15-7 所 示 。 
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(7) 在 “高 级 ”选项 卡 中 ， 如 果 用 户 希 望 将 详细 的 事件 都 记录 到 Windows 事件 日 志 中 ， 
可 以 选中 “将 详细 事件 记录 到 Windows 事件 日 志 中 ” 复 选 框 。 不 过 ， 由 于 将 详细 的 事件 日 志 
记录 到 Windows 事件 日 志 中 ， 会 降低 系统 性 能 ， 所 以 建议 用 户 只 在 对 WINS 服务 器 进行 故 
障 诊断 时 使 用 。 如 果 用 户 需 要 启用 WINS 服务 器 的 突 发 事件 处 理 功 能 ， 则 可 以 选中 “启用 爆 
发 处 理 ” 复 选 框 ， 并 选择 处 理 级 别 。 默 认 情 况 下 ，WINS 数据 库 路 径 为 
“%systemroot%o\system32\WWINS”， 用 户 也 可 以 在 “数据 库 路 径 ” 文 本 框 中 输入 数据 库 路 经 。 
另外 ， 用 户 还 需要 在 “起 始 版 本 ID( 十 六 进 制 )” 文 本 框 中 输入 版 本 ID 号 的 开始 数值 ， 该 数 
值 要 求 为 十 六 进 制 。 为 了 和 LAN Manager 计算 机 名 称 兼容 ， 用 户 可 以 选中 “使 用 和 LAN 
Manager 兼容 的 计算 机 名 称 ” 复 选 框 。 

(8) 设置 完毕 后 ， 单 击 “确定 ”按钮 ， 保 存 设置 。 


15.3 ”管理 WINS 服务 器 


由 于 网 络 中 的 计算 机 会 不 断 发 生变 化 ,这 就 导致 了 计算 机 的 名 称 与 卫 地 址 等 信息 也 会 
随 之 不 断 变化 。 在 创建 好 WINS 服务 器 之 后 ， 为 保证 该 服务 器 能 够 正确 运行 、WINS 数据 库 
能 够 及 时 地 更 新 已 变化 的 资源 记录 ， 要 求 用 户 必须 对 WINS 服务 器 进行 必要 的 管理 。 


15.3.1 查看 数据 库 记 录 


在 WINS 控制 台 窗 口中 ，“ 活 动 注册 ”项 显示 了 在 数据 库 中 的 计算 机 和 组 名 称 列表 。 通 
过 它 ， 管 理 员 可 以 在 数据 库 中 根据 名 称 、 所 有 者 或 者 记录 种 类 寻找 、 筛 选 并 查看 记录 。 
1. 按 IP 地 址 查看 


要 按 人 P 地 址 查看 ， 可 以 在 控制 台 目 录 树 中 右 击 “ 活 动 注册 ”节点 ， 从 弹出 的 快捷 菜单 中 
选择 “显示 记录 ”命令 ， 打 开 “ 显 示 记 录 ” 对 话 框 ， 如 图 15-8 所 示 。 


mw | 
15-8 “显示 纪录 ”对 话 框 


设 定 查找 条 件 之 后 单 击 “ 立 即 查 找 ” 按 钮 ， 系 统 便 开 始 查 找 并 将 查找 结果 显示 出 来 ， 如 
图 15-9 所 示 。 查 找 结果 不 但 显示 了 记录 的 名 称 、 类 型 和 人 P 地 址 ， 而 且 还 显示 了 记录 的 状态 
和 静态 情况 、 所 有 者 、 版 本 号 以 及 注册 存在 的 最 后 日 期 。 
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15-9 ”显示 查找 结果 
2. 按 所 有 者 查看 
要 按 所 有 者 查看 ， 可 以 在 控制 台 目 录 树 中 右 击 “ 活 动 注册 ”节点 ， 从 弹出 的 快捷 菜单 中 
选择 “显示 记录 ”命令 打开“ 显示 记录 ”对 话 框 ， 然 后 选择 “记录 所 有 者 ”选项 卡 ， 如 图 
15-10 所 示 。 


图 15-10 “记录 所 有 者 ”选项 卡 


15.3.2 静态 映射 


在 Windows Server 2003 服务 器 中 ， 可 以 通过 两 种 方法 向 WINS 数据 库 中 添加 名 称 -地 址 
映射 : 动态 和 手工 。 其 中 ， 动 态 映射 由 WINS-enabled 客户 直接 与 WINS 服务 器 联系 ， 在 服 
务 器 数据 库 中 注册 、 释 放 或 更 新 NetBIOS 名 称 ; 手工 映射 则 是 由 管理 员 使 用 WINS 控制 台 窗 
口 或 命令 行 工具 在 WINS 服务 器 的 数据 库 中 添加 或 删除 静态 映射 。 

一 般 情况 下 ， 管 理 员 只 能 将 静态 映射 指派 给 不 能 直接 使 用 WINS 的 计算 机 ， 对 于 复制 设 
置 相当 复杂 或 有 多 个 复制 伙伴 的 WINS 网 络 更 应 如 此 。 一 旦 静态 映射 复制 到 所 有 其 他 复制 伙 
伴 的 服务 器 中 ， 再 从 共享 WINS 数据 库 中 删除 记录 就 很 困难 了 。 例 如 ， 如 果 有 运行 其 他 操作 
系统 的 服务 器 , 则 它们 不 能 直接 使 用 WINS 注册 NetBIOS 名 称 ， 此 时 可 以 使 用 静态 WINS 映 
射 来 识别 。 有 了 静态 映射 的 数据 后 ,WINS-enabled 客户 机 就 可 以 通过 WINS 服务 器 查询 不 能 
直接 使 用 WINS 的 计算 机 的 卫 地 址 。 


如 果 非 WINS-enabled 客户 机 询问 WINS-enabled 客户 机 的 卫 地址， 可 以 通过 
WINS Proxy 来 实现 。 


1. 添加 静态 映射 


要 为 不 能 直接 使 用 WINS 的 客户 机 添加 静态 映射 ， 管 理 员 可 以 执行 以 下 步 又。 

(1) 打开 WINS 控制 台 窗口 ， 在 控制 台 目录 树 中 单 击 “活动 注册 ”节点 ， 选 择 “ 操 作 ” 
| “新建 静态 映射 ”命令 ， 打 开 “ 新 建 静态 映射 ”对 话 框 。 在 “计算 机 名 ”文本 框 中 ， 输 入 要 
添加 静态 映射 的 系统 计算 机 名 ; 如 果 使 用 了 NetBIOS 作用 域 ， 则 在 “NetBIOS 作用 域 ”文本 
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框 中 输入 计算 机 的 NetBIOS 标识 ， 从 “类 型 ”下 拉 列 表 框 中 选择 映射 的 类 型 ， 有 惟一 、 组 
域名 、Intemet 组 或 多 主 等 类 型 ; 在 “ 卫 地 址 ”文本 框 中 ,输入 要 使 用 静态 映射 的 他 的 地 址 ， 
如 图 15-11 所 示 。 

(2) 单 击 “ 应 用 ”按钮 将 静态 映射 添加 到 数据 库 中 ,然后 可 以 继续 输入 下 一 个 静态 映射 。 
添加 完 所 有 静态 映射 信息 后 ， 单 击 “ 确 定 ” 按 钮 即 可 。 

2. 编辑 静态 映射 项 目 


如 果 管 理 员 要 编辑 静态 映射 的 项 目 ， 可 以 执行 以 下 步 又。 

(1) 打开 WINS 控制 台 窗 口 ， 展 开 想 要 编辑 静态 映射 的 服务 器 结 点 ， 单 击 “ 活 动 注册 ” 
选项 。 在 详细 资料 窗 格 中 选择 要 编辑 的 静态 映射 ， 然 后 选择 “操作 ”|“ 属 性 ”命令 ,打开 其 
“属性 ”对 话 框 ， 如 图 15-12 所 示 。 
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(2) 在 “IP 地 址 ”列表 框 中 ， 添 加 、 删 除 或 改变 计算 机 的 他 地 址 ， 然 后 单 击 “ 确 定 ” 按 
钮 ，WINS 数据 库 将 立即 进行 更 改 。 如 果 因为 输入 的 地 址 已 经 使 用 ， 而 使 数据 库 更 改 无 效 时 ， 
则 会 出 现 提示 信息 要 求 重新 输入 另 一 个 卫 地 址 。 


3. 导入 静态 映射 项 目 


管理 员 可 以 从 与 LMHOSTS 文件 具有 相同 格式 的 文件 中 导入 静态 映射 项 目 , 但 导入 时 将 
忽略 除 #DOM 外 的 域名 和 关键 字 。 

要 导入 包含 静态 映射 项 目的 LMHOSTS 文件 ， 可 以 执行 以 下 操作 。 

(1) 打开 WINS 控制 台 窗口 ， 展 开 想 要 编辑 静态 映射 的 服务 器 ， 单 击 “ 活 动 注册 ”选项 ， 
选择 “操作 ”|“ 导 入 LMHOSTS 文件 ”命令 。 

(2) 在 打开 的 “打开 ”对 话 框 中 ， 查 找 并 选择 要 用 来 导入 静态 映射 的 LMHOSTS 文件 ， 
然后 单 击 “ 打 开 ” 按 钮 开始 向 服务 器 的 数据 库 中 导入 静态 映射 项 目 ， 如 图 15-13 所 示 。 


图 15-13 “打开 ”对 话 框 


15.3.3 ”管理 WINS 数据 库 


对 于 WINS 服务 器 的 管理 员 来 说 ,维护 WINS 数据 库 是 其 工作 中 最 重要 的 一 部 分 。 只 有 
不 间断 地 更 新 和 整理 WINS 数据 库 中 的 记录 ， 才 能 保证 WINS 服务 器 能 够 正常 、 稳 定 地 工 
作 ， 为 WINS 客户 机 提供 正确 、 及 时 的 名 称 解析 服务 。 本 节 将 介绍 一 些 WINS 数据 库 管理 
方面 的 内 容 。 


1. 备份 数据 库 


WINS 控制 台 为 WINS 数据 库 提供 了 备份 功能 ， 在 指定 了 数据 库 的 备份 目录 后 ，WINS 
在 默认 情况 下 每 隔 3 个 小 时 执行 一 次 完全 备份 操作 。 管理 员 也 可 以 定时 备份 WINS 服务 器 的 
注册 项 目 。 

管理 员 最 好 不 要 将 某 个 网 络 驱动 器 指定 为 备份 位 置 ， 因 为 WINS 不 允许 从 其 他 计算 机 上 
远程 还 原 服务 器 数据 库 。 此 外 ,如果 在 服务 器 属性 中 更 改 了 WINS 备份 或 数据 库 路 径 ， 则 需 
要 执行 新 的 备份 以 确保 WINS 数据 库 在 将 来 可 以 成 功 地 还 原 。 

下 面 就 介绍 一 下 备份 WINS 数据 库 的 具体 操作 步骤 。 

(1) 在 WINS 控制 台 窗口 中 选择 想 要 备份 的 WINS 服务 器 。 选 择 “ 操 作 ”| “备份 数据 库 ? 
命令 ， 控 制 台 将 打开 “浏览 文件 夹 ”对 话 框 来 选择 备份 路 径 ， 如 图 15-14 所 示 。 


15-14 “浏览 文件 夹 ”对 话 框 


(2) 指定 了 备份 路 径 后 ， 单 击 “确定 ”按钮 即 可 开始 备份 。 
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2. 还 原 数据 库 


当 WINS 数据 库 损坏 或 需要 以 老 的 备份 蔡 代 当前 数据 库 中 的 数据 时 , 管理 员 即 可 以 从 备 
份 文件 还 原 WINS 数据 库 。 

下 面 介绍 还 原 WINS 数据 库 的 具体 操作 步 又 。 

(1) 首先 ， 停 止 WINS 服务 ， 因 为 只 有 在 停止 WINS 服务 时 才能 进行 数据 库 还 原 操作 ， 
有 时 可 能 需要 使 用 “操作 ”|“ 刷 新 ”命令 刷新 服务 器 节点 ， 以 便 WINS 控制 台 能 够 检测 到 
WINS 服务 已 经 停止。 

(2) 然后 ， 管 理 员 需要 删除 WINS 数据 库 文件 夹 (该 文件 夹 为 服务 器 属性 对 话 框 的 “高 
级 ”选项 卡 中 设置 的 文件 夹 ， 默 认为 系统 文件 夹 中 Windows\System32\WINS 文件 夹 ) 中 的 所 
有 文件 。 

(3) 接着 打开 WINS 控制 台 窗 口 , 在 控制 台 目 录 树 中 选择 要 还 原 的 WINS 服务 器 。 选择 
“操作 ”| “恢复 数据 库 ” 命 令 ， 在 出 现 的 “浏览 文件 夹 ”对 话 框 中 选择 备份 WINS 数据 库 
的 文件 夹 。 

(4) 最 后 ， 单 击 “ 确 定 ” 按 钮 即 可 。 
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如 果 数 据 库 损坏 ,可 以 从 备份 文件 还 原 WINS 数据 库 。 但 有 时 管理 员 也 可 以 通过 
提高 WINS 服务 器 的 开始 版 本 计数 并 重新 启动 服务 器 来 修复 被 损坏 的 WINS 数据 库 。 


3. 清理 WINS 数据 库 


与 其 他 数据 库 相 似 ， 管 理 员 必 须 定期 维护 WINS 数据 库 ， 以 便 为 数据 库 添加 新 的 名 称 
解析 记录 。 另 外 ， 还 需要 清除 没 用 的 数据 ， 这 些 数据 包括 一 些 已 经 释放 的 记录 ， 或 者 在 另外 
的 WINS 服务 器 上 注册 并 复制 到 本 地 WINS 服务 器 的 记录 ， 这 一 删除 过 程 称 为 “清理 ”。 
事实 上 ， 如 果 在 服务 器 属性 对 话 框 中 设置 了 间隔 自动 清理 服务 器 数据 库 ， 那 么 在 间隔 时 间 到 
达 时 WINS 会 自动 完成 “清理 ”数据 库 操作 。 但 有 时 候 需 要 立即 清除 数据 库 ， 而 不 想 等 到 指 
定 的 验证 间隔 ， 就 需要 手工 清除 数据 库 。 

要 清理 WINS 数据 库 , 可 以 打开 WINS 控制 台 窗口 , 在 控制 台 目 录 树 中 选择 要 手工 完成 
清理 操作 的 WINS 服务 器 ， 然 后 选择 “操作 ”|“ 清 理 数据 库 ” 命 令 即 可 。 


4. 验证 数据 库 的 一 致 性 
验证 数据 库 的 一 致 性 有 助 于 维护 大 型 网 络 中 的 WINS 服务 器 之 间 的 完整 性 。 当 从 WINS 


控制 台 启用 一 致 性 检查 时 ， 即 使 保存 注册 信息 的 服务 器 不 是 复制 伙伴 ，WINS 控制 台 也 能 直 
接 从 这 些 服务 器 中 “ 拖 ” 出 所 有 记录 ， 然 后 将 从 远程 数据 库 “ 拖 ”出 的 记录 与 本 地 记录 进行 


比较 。 如 果 两 者 相同 ， 则 更 新 时 间 信息 ;如 果 本 地 记录 的 版 本 号 低 ， 则 将 “ 拖 ” 来 的 记录 添 
加 到 本 地 数据 库 中 ， 并 将 原始 记录 加 上 删除 标记 ; 如 果 版 本 号 相同 但 名 称 不 同 ， 则 使 用 “ 拖 ” 
来 的 记录 蔡 换 本 地 记录 。 

在 Windows Server 2003 服务 器 中 ， 可 以 使 用 WINS 控制 台 完 成 一 致 性 检查 ， 如 果 使 用 
的 是 以 前 的 服务 器 版 本 , 则 必须 通过 改变 Windows 注册 表 或 使 用 WINS CL 程序 (Windows NT 
4.0 资源 软件 包 提 供 的 一 个 命令 行程 序 ) 激 活 一 致 性 检查 。 

除了 可 以 通过 设置 服务 器 属性 来 自动 进行 一 致 性 检查 之 外 ， 还 可 以 手工 进行 检查 。 要 手 
工 检查 数据 库 的 一 致 性 ， 可 以 打开 WINS 控制 台 窗口 ， 在 控制 台 目 录 树 中 选择 想 要 检查 一 致 
性 的 WINS 服务 器 ， 然 后 选择 “操作 ”|“ 验 证 数据 库 的 一 致 性 ”命令 ， 系 统 将 打开 信息 提 
示 框 询问 是 否 进行 一 致 性 检查 ， 单 击 “ 是 ”按钮 将 开始 检查 版 本 一 致 性 操作 。 

另外 , 管理 员 也 可 以 检查 服务 器 之 间 版 本 号 的 一 致 性 ， 以 保证 WINS 服务 器 在 拥有 记录 
的 WINS 服务 器 网 络 中 具有 最 高 版 本 号 。 要 验证 服务 器 间 版 本 号 的 一 致 性 ， 可 以 打开 WINS 
控制 台 窗 口 ， 选 择 想 要 检查 版 本 号 一 致 性 的 WINS 服务 器 并 选择 “操作 ”|“ 检 查 版 本 ID 号 
的 一 致 性 ”命令 ,在 系统 出 现 提示 信息 时 ， 单 击 “ 是 ”按钮 即 可 开始 检查 版 本 号 一 致 性 操作 。 

5. 复制 WINS 数据 库 


在 Windows Server 2003 中 ， 管 理 员 可 以 通过 3 种 方法 复制 WINS 数据 库 : 发 送 “ 推 ” 
触发 器 、 发 送 “ 拉 ”触发 器 和 立即 复制 。 如 果 为 复制 伙伴 设置 属性 时 设置 了 “ 推 ” 和 “ 拉 ” 
的 触发 条 件 ， 则 在 满足 条 件 时 会 自动 产生 “ 推 ”或 “ 拉 ” 操 作 。 但 是 ， 管 理 员 也 可 以 在 需要 
时 通过 命令 强制 发 送 “ 推 或 “ 拉 ” 触 发 器 进行 数据 复制 。 

要 强制 发 送 “ 推 ”或 “ 拉 ” 触 发 器 进行 “ 推 ”或 “ 拉 ” 复 制 的 具体 操作 步骤 如 下 。 

(1) 在 WINS 控制 台 窗 口中 , 选择 要 进行 复制 的 WINS 服务 器 。 单 击 “ 复 制 伙伴 ”节点 ， 
在 详细 资料 窗 格 中 将 显示 出 所 有 的 复制 伙伴 。 

(2) 要 进行 “ 推 ”复制 , 可 右 击 要 操作 的 复制 伙伴 ,从 弹出 的 快捷 菜单 中 选择 “开始 “ 推 ' 
复制 ”命令 ,打开 “启动 “ 推 复制 ”对 话 框 。 在 该 对 话 框 中 ， 管 理 员 需 要 选择 “ 推 复制 
的 方法 。 如 果 选 择 “ 仅 为 此 伙伴 启动 ” 单 选 按钮 ， 则 只 为 选 定 的 复制 伙伴 启用 “ 推 ” 复 制 ; 
如 果 选 择 “ 传 播 到 所 有 伙伴 ” 单 选 按钮 ， 则 将 “ 推 ” 复 制 的 内 容 传播 到 所 有 的 复制 伙伴 ， 如 
15-15 所 示 。 

(3) 单 击 “ 确 定 ”按钮 之 后 ， 在 显示 的 信息 提示 框 中 单 击 “ 确 定 ”按钮 即 可 。 

(4) 要 进行 “ 拉 ” 复 制 , 可 右 击 要 操作 的 复制 伙伴 ,从 弹出 的 快捷 菜单 中 选择 “开始 “ 拉 ” 
复制 ”命令 ,打开 “确认 启动 “ 拉 ” 复 制 ” 对 话 框 ， 单 击 “ 是 ”按钮 之 后 ， 在 出 现 的 信息 提 
示 框 中 单 击 “ 确 定 ” 按 钮 即 可 ， 如 图 15-16 所 示 。 
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图 15-15 “启动 “ 推 ” 复制” 对话 框 图 15-16 “启动 “ 拉 ” 复制 ”对 话 框 


对 WINS 数据 库 完 成 一 系列 更 改 (如 输入 静态 地 址 映射 ) 之 后 ， 可 能 需要 在 复制 伙伴 之 间 
立即 进行 数据 库 的 复制 ， 而 不 必 等 待 所 指定 的 复制 条 件 。 

启动 复制 功能 的 具体 操作 步骤 如 下 。 

(1) 打开 WINS 控制 台 窗口 ， 展 开 要 进行 复制 的 WINS 服务 器 ， 单 击 “ 复 制 伙伴 ”节点 。 
选择 “操作 ” |“ 立即 复制 ”命令 ， 系 统 将 打开 提示 对 话 框 询问 是 否 立即 启动 复制 ， 单 击 “ 是 ” 
按钮 。 

(2) 随后 ， 系 统 还 将 打开 一 个 提示 对 话 框 ， 提 示 WINS 服务 器 已 经 将 复制 请 求 排 入 服务 
器 上 的 队列 ， 单 击 “确定 ”按钮 即 可 ， 如 图 15-17 所 示 。 
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图 15-17 WINS 提示 对 话 框 


“立即 复制 ”操作 将 引发 所 有 的 “ 推 ” 和 “ 拉 ” 伙 伴 服务 器 。 可 以 使 用 “事件 
查看 器 ”检查 载 入 服务 器 的 系统 事件 ， 了 解 复制 操作 实际 完成 的 时 间 以 及 状况 等 信 


15.3.4 启用 WINS 服务 器 的 推 / 拉 复 制 功能 


当 在 网 络 上 使 用 多 个 WINS 服务 器 时 ， 用户 可 以 配置 它们 以 将 数据 库 中 的 记录 复制 到 其 
他 服务 器 。 通 过 在 这 些 WINS 服务 器 之 间 使 用 复制 ， 使 得 在 整个 网 络 上 维护 和 分 发 一 组 一 臻 
的 WINS 信息 。 例 如 ， 子 网 1 上 的 WINS 客户 (HOST-1) 使 用 其 主 WINS 服务 器 (WINS -A) 
注册 自己 的 名 称 ， 子 网 2 上 的 其 他 WINS 客户 (HOST-2) 也 使 用 其 主 WINS 服务 器 (WINS -B) 
注册 了 自己 的 名 称 。 如 果 这 些 主机 以 后 要 使 用 WINS 定位 其 他 主机 (例如 HOST-1 查询 HOST-2 
的 中 地 址 )， 则 在 WINS 服务 器 之 间 (WINS-A 和 WINS-B) 的 复制 使 处 理 该 查询 成 为 可 能 。 

要 使 服务 器 间 复 制 正 常 工作 , 必须 将 每 个 WINS 服务 器 至 少 配 置 为 有 一 个 其 他 WINS 服 


务 器 作为 其 复制 伙伴 。 这 就 确保 通过 某 个 WINS 服务 器 注册 的 名 称 最 终 能 够 被 复制 到 网 络 上 
的 所 有 其 他 WINS 服务 器 上 。 可 以 将 复制 伙伴 添加 并 配置 为 拉 伙伴 、 推 伙伴 或 推 / 拉 伙伴 ( 同 
时 使 用 两 种 复制 类 型 )。 推 / 拉 伙伴 类 型 是 默认 的 配置 ， 也 是 大 多 数 情况 下 推荐 使 用 的 类 型 。 

当 WINS 服务 器 复制 时 , 在 来 自任 何 给 定 的 服务 器 的 客户 端 名 称 - 地 址 映射 传播 到 网 络 上 
所 有 其 他 WINS 服务 器 之 前 会 存在 一 个 潜伏 期 。 此 潜伏 期 称 为 整个 WINS 系统 的 “集中 时 
间 ”。 例 如 ， 客 户 的 名 称 释 放 请 求 将 不 会 比 名 称 注 册 请 求 传播 更 快 。 这 样 设 计 是 因为 当 计算 
机 重新 启动 或 周期 性 关闭 时 ,客户 端 名 称 被 释放 然后 又 使 用 相同 的 映射 重新 使 用 是 很 常见 的 ， 
复制 这 些 名 称 释 放 将 不 必要 地 增加 复制 的 网 络 负载 。 而 且 ， 当 WINS 客户 计算 机 没有 正常 关 
闭 时 (如 意外 的 停电 )， 该 计算 机 的 注册 名 称 不 会 像 正常 情况 下 那样 将 名 称 释 放 请 求 发 送 到 
WINS 服务 器 释放 。 因此 , 在 WINS 数据 库 中 存在 某 个 名 称 -地 址 记录 并 不 意味 着 客户 仍然 使 
用 该 名 称 或 相关 的 中 地址 。 而 只 是 意味 着 在 过 去 的 某 个 时 间 , 已 注册 名 称 的 计算 机 声明 使 用 
映射 的 下 地址 。 

3 任何 客户 的 主 、 辅 WINS 服务 器 之 间 都 存在 推 /拉关系 。 然 而 ， 只 要 在 正 
常 的 复制 周期 内 能 间接 获得 相似 的 结果 ， 就 不 需要 直接 的 推 / 拉 配 置 。WINS 复制 总 是 
增 量 复制 ， 也 就 是 说 ， 每 次 复制 时 只 复制 数据 库 中 的 更 改 ， 而 不 是 复制 整个 数据 库 。 


用 户 要 复制 网 络 中 的 WINS 数据 库 , 必须 为 WINS 服务 器 添加 复制 伙伴 ， 即 为 复制 指定 
对 象 ， 否 则 WINS 数据 库 将 不 能 进行 复制 。 一 般 情 况 下 ， 用 户 可 以 通过 添加 复制 伙伴 来 使 
Windows Server 2003 域 网 络 中 的 所 有 WINS 服务 器 相互 复制 WINS 数据 库 ， 对 于 域 以 外 的 
WINS 服务 器 ， 只 需要 根据 网 络 的 使 用 情况 添加 一 两 个 关联 比较 紧密 的 复制 伙伴 即 可 。 

下 面 就 介绍 添加 WINS 数据 库 复 制 伙伴 的 具体 操作 步骤 。 

(1) 打开 WINS 控制 台 窗口 ， 在 控制 台 目 录 树 中 右 击 “ 复 制 伙伴 ” 子 节点 ， 从 弹出 的 快 
捷 菜 单 中 选择 “新 的 复制 伙伴 ”命令 ， 打 开 “ 新 的 复制 伙伴 ”对 话 框 ， 如 图 15-18 所 示 。 
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15-18 “新 的 复制 伙伴 ”对 话 框 


(2) 在 “WINS 服务 器 ”文本 框 中 输入 作为 复制 伙伴 添加 的 WINS 服务 器 名 称 或 卫 地 
址 ， 或 者 单 击 “ 浏 览 ” 按 钮 选择 要 添加 的 WINS 服务 器 。 
(3) 设置 完毕 后 ， 单 击 “确定 ” 按 钮 即 可 完成 新 伙伴 的 创建 操作 。 
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如 果 管 理 员 不 再 希望 与 某 个 WINS 服务 器 建立 复制 关系 , 也 可 以 将 其 删除 。 要 删除 复制 
伙伴 ,可 以 打开 WINS 控制 台 窗口 ， 在 控制 台 目 录 树 中 单 击 “ 复 制 伙伴 ”节点 ， 然 后 在 详细 
资料 窗 格 中 单 击 要 删除 的 复制 伙伴 ， 选 择 “操作 ”|“ 删 除 ”命令 ， 在 出 现 的 系统 提示 框 中 ， 
单 击 “确定 ”按钮 以 确认 删除 该 伙伴 。 


15.3.5 “设置 复制 伙伴 


如 果 网 络 上 有 多 个 WINS 服务 器 , 那么 管理 员 可 以 在 一 个 服务 器 的 数据 库 中 记录 其 他 服 
务 器 信息 , 使 不 同 WINS 服务 器 之 间 互 相 复 制 数据 库 , 从 而 在 网 络 上 保存 分 布 式 的 WINS 信 
息 集 。 但 复制 并 非 是 不 加 区 分 地 在 网 络 上 的 WINS 服务 器 之 间 完 成 的 ， 默 认 情 况 下 ，WINS 
服务 器 只 与 其 复制 伙伴 建立 复制 关系 。 复 制 伙伴 有 两 种 :“ 拉 ”伙伴 和 “ 推 ” 伙伴， 其 中 “ 拉 ” 
伙伴 用 来 接收 “ 推 ”伙伴 所 传送 来 的 数据 ，“ 推 ”伙伴 用 来 将 其 数据 库 中 修改 过 的 数据 复制 
给 “ 拉 ” 伙 伴 。 

建立 一 些 复制 伙伴 后 ， 为 了 进一步 控制 复制 过 程 ， 管 理 员 还 需要 设置 复制 伙伴 的 整体 属 
性 ， 因 为 该 属性 影响 WINS 服务 器 的 所 有 复制 伙伴 与 自己 的 复制 过 程 。 

下 面 是 设置 复制 伙伴 属性 的 具体 操作 步 又 。 

(1) 打开 WINS 控制 台 窗 口 , 在 控制 台 目 录 树 中 选择 要 配置 复制 伙伴 属性 的 “复制 伙伴 ” 
子 节点 ， 选 择 “ 操 作 ”|“ 属 性 ”命令 ,打开 “复制 伙伴 属性 ”对 话 框 ， 如 图 15-19 所 示 。 

(2) 如 果 只 将 数据 库 内 容 在 复制 伙伴 之 间 复 制 ， 可 以 选中 “ 仅 用 伙伴 复制 ” 复 选 框 ， 如 果 要 
改写 服务 器 上 的 唯一 静态 映射 ， 需 要 选中 “改写 服务 器 上 的 唯一 静态 映射 (启用 迁移 )” 复 选 框 。 

(3) 选择 ““ 推 ”复制 ”选项 卡 ， 管 理 员 可 以 设置 “ 推 ” 复 制 启 动 的 条 件 。 例 如 ， 可 以 
选中 “当地 址 更 改 时 ” 复 选 框 ， 则 在 WINS 服务 器 中 注册 的 计算 机 地 址 改变 时 启用 “ 推 ” 复 
制 。 另 外 ， 管 理 员 还 可 以 通过 选中 “为 “ 推 ” 复 制 伙伴 使 用 持续 连接 ” 复 选 框 来 使 “ 推 ” 复 
制 使 用 持续 连接 方式 ， 如 图 15-20 所 示 。 
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(4) 选择 ““ 拉 ”复制 ”选项 卡 ， 用 户 可 以 设置 触发 “ 拉 ” 复 制 的 条 件 。 当 初始 化 系统 


时 ， 如 果 要 通知 复制 伙伴 数据 库 状态 ， 可 以 选中 “服务 启动 时 开始 “ 拉 ” 复 制 ” 复 选 框 ， 并 
设置 “ 拉 ” 复 制 的 开始 时 间 、 复 制 的 间隔 时 间 。 管 理 员 还 可 以 在 “ 重 试 次 数 ” 微 调 器 中 调整 
服务 器 为 “ 拉 ” 伙 伴 连 接 的 尝试 次 数 ， 如 图 15-21 所 示 。 

(5) 如 果 网 络 上 的 WINS 服务 器 数量 不 多 , 则 可 以 使 用 多 址 广播 自动 配置 复制 。 单 击 “ 高 
级 ”标签 ， 打 开 “ 高 级 ”选项 卡 ， 如 图 15-22 所 示 ， 选 中 其 中 的 “启用 自动 伙伴 配置 ” 复 选 框 ， 
并 设置 多 址 广播 间隔 的 时 间 。 对 于 Windows Server 2003， 选 择 “ 阻 止 下 列 所 有 者 的 记录 ” 单 选 
按钮 ， 可 以 阻止 非 活动 服务 器 所 有 的 项 的 进一步 复制 。 一 般 情况 下 ， 管 理 员 需 要 阻塞 那些 被 删除 
的 WINS 服务 器 上 的 记录 的 进一步 复制 .如 果 管理 员 需 要 阻止 复制 某 个 WINS 复制 伙伴 的 记录 ， 
可 以 单 击 “ 添 如” 按钮， 打开“ 添加 服务 器 ”对 话 框 选择 要 阻止 的 WINS 服务 器 即 可 。 
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图 15-21 “'“ 拉 ”复制 ”选项 卡 图 15-22 “高 级 ”选项 卡 


(6) 单 击 “ 确 定 ” 按 钮 完成 设置 。 

虽然 复制 伙伴 的 整体 属性 对 每 一 个 复制 伙伴 都 有 效 ， 但 是 不 同 的 复制 伙伴 可 能 会 对 自己 
的 属性 有 特殊 的 要 求 ， 这 时 ， 管 理 员 就 应 对 需要 特殊 设置 的 复制 伙伴 进行 单独 的 设置 。 

设置 单个 复制 伙伴 属性 的 具体 操作 步骤 如 下 。 

(1) 打开 WINS 控制 台 窗 口 ， 在 控制 台 目录 树 中 展开 要 配置 复制 伙伴 属性 的 WINS 服务 
器 。 单 击 “ 复 制 伙伴 ”节点 ， 然 后 在 详细 资料 窗 格 中 右 击 需要 设置 属性 的 复制 伙伴 ， 从 弹出 
的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 所 选 复制 伙伴 的 “属性 ”对 话 框 ， 如 图 15-23 所 示 。 


CD mw | me 
图 15-23 ”所 选 复制 伙伴 的 属性 对 话 框 


(2) 选择 “高 级 ”选项 卡 ， 在 “复制 伙伴 类 型 ”下 拉 列 表 框 中 ， 管 理 员 可 以 选择 该 复制 
伙伴 的 类 型 : “ 推 ” /“ 拉 ”、“ 推 ”和 “ 拉 ”。 在 ““ 拉 ”复制 ”选项 区 域 中 ， 通 过 设置 “为 
复制 使 用 持续 连接 方式 ” 复 选 框 ， 来 决定 是 否 为 该 “ 拉 ” 复 制 关系 设置 持续 连接 ， 如 果 要 使 
用 持续 连接 ， 则 选中 该 复 选 框 。 另 外 ， 管 理 员 还 可 以 通过 时 间 微 调 器 来 设置 “ 拉 ” 复 制 的 开 
始 时 间 和 复制 的 间隔 时 间 。 在 ““ 推 ”复制 ”选项 区 域 中 ， 通 过 设置 “为 复制 使 用 持续 连接 
方式 ” 复 选 框 来 决定 是 否 为 该 “ 推 ” 复 制 关系 设置 持续 连接 。 另 外 ， 管 理 员 还 可 以 通过 时 间 
微调 器 来 设置 “ 推 ”复制 在 复制 前 版 本 ID 改变 的 次 数 ， 如 图 15-24 所 示 。 


15-24 “高 级 ”选项 卡 


(3) 完成 所 有 设置 后 ， 单 击 “ 确 定 ” 按 钮 ， 保 存 设置 。 
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人生 > 芝 于 之 一 ， 了 者 emnet 和 信息 技术 的 发 展 与 普及 ， 电 子 邮 件 已 经 
J 深入 到 人 们 的 工作 和 生活 当中 。 利 用 Windows Server 2003 系统 新 增 
四) 调 的 POP3 服务 组 件 ， 可 以 使 用 户 无 需 借助 任何 工具 即 可 搭建 一 个 邮件 
构 [全 服务 器 。 可 以 在 服务 器 计算 机 上 安装 POP3 组 件 ， 以 便 将 其 配置 为 邮 
Dz 人 服务 器 ， 管 理 员 可 以 使 用 POP3 服务 来 存储 和 管理 邮件 服务 器 上 
下 的 电子 邮件 帐户 。 本 章 将 详细 介绍 如 何 构建 一 个 邮件 服务 器 。 
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16.1 电子 邮件 概述 


很 多 企业 局 域 网 内 部 都 架设 了 邮件 服务 器 ， 用 于 进行 公文 发 送 和 工作 交流 。 但 使 用 专业 
的 企业 邮件 系统 软件 需要 大 量 的 资金 投入 ， 这 对 于 很 多 企业 来 说 是 无 法 承受 的 。 其 实 可 以 通 
过 Windows Server 2003 提供 的 POP3 服务 和 SMTP 服务 架设 一 个 小 型 邮件 服务 器 来 满足 一 定 
的 需求 。 众 所 周知 ， 邮 件 服务 器 系统 由 POP3 服务 、 简 单 邮 件 传输 协议 (SMTP) 服 务 以 及 电子 
邮件 客户 端 3 个 组 件 组 成 。 其 中 的 POP3 服务 与 SMTP 服务 一 起 使 用 ，POP3 为 用 户 提供 邮 
件 下 载 服务 ， 而 SMTP 则 用 于 发 送 邮件 以 及 邮件 在 服务 器 之 间 的 传递 。 电 子 邮件 客户 端 是 用 
于 读 取 、 扎 写 以 及 管理 电子 邮件 的 工具 软件 。 


16.1.1 电子 邮件 的 工作 原理 


如 同 现实 生活 中 的 传统 邮件 要 有 邮政 系统 才能 准确 而 及 时 地 将 信件 从 发 信人 手中 传递 
到 收 信人 手中 一 样 ， 电 子 邮件 同样 也 要 有 支撑 的 服务 系统 才能 完成 使 命 。 电 子 邮件 系统 所 采 
用 的 数据 交换 技术 与 大 多 数 计算 机 网 络 采用 的 数据 交换 技术 一 样 ， 即 “存储 转发 ”技术 。 一 
封 电 子 邮件 从 发 送 端 计算 机 发 出 ， 在 网 络 传输 的 过 程 中 ， 经 过 多 台 计算 机 中 转 ， 最 后 到 达 目 
的 计算 机 ， 送 到 收 信人 的 电子 信箱 中 ， 在 这 个 过 程 中 ， 进 行 中 转 的 计算 机 就 像 普通 邮政 系统 
中 的 邮局 ， 这 些 Intemet 上 的 “邮局 ” 称 为 邮件 服务 器 ， 并 且 这 些 邮件 服务 器 之 间 要 遵循 同 
样 的 规则 才能 正确 地 互相 转达 信息 ， 这 样 的 规则 被 称 为 协议 。 

电子 邮件 的 实际 传递 过 程 要 比 一 封 普通 信件 的 传递 过 程 复 杂 的 多 。 在 Intemet 上 ， 一 封 
电子 邮件 的 实际 传递 过 程 如 下 。 

(1) 由 发 送 方 计算 机 (客户 机 ) 的 邮件 管理 程序 将 邮件 进行 分 拆 , 即 把 一 个 大 的 信息 块 分 成 
一 个 个 小 的 信息 块 ,并 把 些小 的 信息 块 封装 成 传输 层 协 议 (TCP 层 ) 下 的 一 个 或 多 个 TCP 邮包 。 

(2) TCP 邮包 又 按 网 际 层 协议 (IP 层 ) 要 求 , 拆 分 成 中 数据 包 ( 分 组 ), 并 在 上 面 附 上 目的 计 
算 机 的 地 址 QP 地 址 )。 

(3) 根据 目的 计算 机 的 下 地址， 确定 与 哪 一 台 计 算 机 进行 联系 ， 与 对 方 建立 TCP 连接 。 

(4) 如 果 连 接 成 功 ， 便 将 卫 邮包 送 上 网 络 。 卫 邮包 在 Intemet 的 传递 过 程 中 ， 将 通过 对 
路 径 的 路 由 选择 , 经 过 许多 路 由 器 存储 转发 的 复杂 传递 过 程 , 最 后 到 达 接收 邮件 的 目的 计算 机 。 

(5) 在 接收 端 ， 电 子 邮 件 程序 会 把 人 P 邮包 收集 起 来 ， 取 出 其 中 的 信息 ， 按 照 信 息 的 原始 
次 序 还 原 成 初始 的 邮件 ， 最 后 传送 给 收 信人 。 

如 果 在 传输 过 程 中 发 现 人 P 数据 包 丢 失 , 目的 计算 机 会 要 求 发 送 端 重 发 。 只 有 传输 过 程 中 
可 能 出 现 的 误 码 等 问题 ，TCP 邮包 将 采用 一 种 “检验 和 ”的 方法 处 理 。 即 如 果 一 个 邮包 在 传 
输 前 后 的 “检验 和 ”不 一 致 ， 则 表明 传输 出 错 ， 这 种 邮包 必须 舍弃 重 发 。 从 上 述 过 程 可 以 看 


出 , 尽管 电子 邮件 的 具体 传递 过 程 比较 复杂 , 但 是 TCP/IP 协议 采取 了 各 种 措施 保证 邮包 的 可 
靠 传递 。 一 般 而 言 ， 电 子 邮 件 总 能 从 发 送 端 计算 机 可 靠 地 传递 到 目的 计算 机 。 


16.1.2 ”电子 邮件 相关 协议 


电子 邮件 在 发 送 和 接收 的 过 程 中 还 要 遵循 一 些 基 本 的 协议 和 标准 ， 如 SMTP、POP3 等 ， 
这 样 一 份 电子 邮件 才能 顺利 地 被 发 送 和 接受 。 目 前 ， 绝 大 多 数 电子 邮件 客户 端 软件 都 支持 上 
述 协 议和 标准 ， 这 些 协议 和 标准 能 保证 电子 邮件 在 各 种 不 同 的 系统 之 间 进 行 传输 。Windows 
Server 2003 正 是 通过 SMTP 与 POP3 协议 来 提供 完整 的 电子 邮件 服务 。 

1. SMTP 协议 


SMTP(Simple Mail Transfer Protocol， 简 单 邮件 传输 协议 ) 是 Intemet 上 基于 TCP/IP 应 用 
层 的 协议 , 适用 于 主机 之 间 电 子 邮 件 交 换 。 当 用 户 利用 电子 邮件 客户 端 软 件 发 送 电 子 邮 件 时 ， 
此 邮件 是 发 送 给 SMTP 服务 器 的 ,并 由 SMTP 服务 器 负责 将 其 发 送 给 目的 地 的 SMTP 服务 器 。 
SMTP 服务 器 同时 也 负责 接收 由 其 他 SMTP 服务 器 发 送 来 的 电子 邮件 ， 然 后 将 其 存储 到 “ 邮 
件 存放 区 ”中 。 


2. POP3 协议 


POP3(Post Office Protocol version 3， 邮 局 协议 版 本 3) 是 TCP/IP 的 基本 协议 之 一 。 在 一 般 
情况 下 ， 如 果 把 一 台 服 务 器 设置 成 存放 用 户 邮件 的 “服务 器 ”以 后 ， 用 户 就 可 以 利用 POP3 
协议 来 访问 该 服务 器 上 的 邮件 信箱 ， 接 收 电子 邮件 。 基 于 POP3 协议 的 电子 邮件 软件 为 用 户 
提供 了 许多 方便 ， 人 允许 用 户 在 不 同 的 地 点 访问 服务 器 上 的 电子 邮件 ， 并 决定 是 把 电子 邮件 存 
放 在 服务 器 邮箱 上 ， 还 是 存 入 本 地 邮箱 内 。 


16.2 ”邮件 服务 器 配置 


16.2.1 安装 POP3 和 SMTP 服务 组 件 

Windows Server 2003 在 默认 情况 下 是 没有 安装 POP3 和 SMTP 服务 组 件 的 , 因此 需要 手 
动 添加 这 些 组 件 。 

1. 安装 POP3 服务 组 件 

(1) 以 系统 管理 员 身 份 登录 Windows Server 2003 系统 。 打开 “开始 ”菜单 ， 选 择 “ 控 制 
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面板 ”|“ 添 加 /删除 程序 ”命令 ， 打 开 “ 添 加 /删除 程序 ”对 话 框 。 

(2) 单 击 “ 添 加 /删除 Windows 组 件 ” 选 项 ， 出 现 “Windows 组 件 向 导 ” 对 话 框 ， 从 列 
表 中 选择 “电子 邮件 服务 ”选项 ， 如 图 16-1 所 示 。 

(3) 单 击 “ 详 细 信息 ”按钮 ， 可 以 看 到 该 选项 包括 两 部 分 内 容 : POP3 服务 和 POP3 服务 
Web 管理 。 为 方便 用 户 远程 Web 方式 管理 邮件 服务 器 ， 建 议 选 中 “POP3 服务 Web 管理 ”， 
如 图 16-2 所 示 。 


Tindors 粗 件 | 
可 以 索 加 或 册 除 Yindows 的 组 件 。 ey 医 霹 罗 办 斤 ; 识 直 : S 灰色 框 表示 只 会 安装 该 组 件 的 一 
电子 邮件 服务 的 子 组 件 CC): 


也 居 POF3 服务 Teb 管理 


478 | 


aom 到 描述 FOF3 服务 提供 了 电子 邮件 检索 服务 。 同 时 会 安装 简单 邮件 传输 协议 
描述; 和 同时 会 安装 简单 邮件 传输 协 (SNTP)。 
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图 16-1 安装 电子 邮件 服务 16-2 ”为 电子 邮件 服务 选择 详细 安装 信息 


2. 安装 SMTP 服务 组 件 


(1) 进入 “添加 /删除 程序 ”对 话 框 , 单 击 “ 添 加 /删除 Windows 组 件 ” 选 项 , 出 现 “Windows 
组 件 向 导 ”。 

(2) 选中 “应 用 程序 服务 器 ”选项 , 单 击 “ 详 细 信息 ”按钮 , 打开 “Internet 信息 服务 (IIS)” 
对 话 框 ， 选 中 SMTP Service 选项 ， 单 击 “ 确 定 ” 按 钮 ， 如 图 16-3 所 示 。 此 外 ， 如 果 用 户 需 
要 对 邮件 服务 器 进行 远程 Web 管理 ， 一 定 要 选中 “万 维 网 服务 ”中 的 “远程 管理 (HTML)” 
组 件 ， 如 图 16-4 所 示 。 完 成 以 上 设置 后 ， 单 击 “ 下 一 步 ”按钮 ， 系 统 将 开始 安装 配置 POP3 


和 SMTP 服务 。 
Taternet 信息 服务 (IS) 万 锥 同 服务 x| 
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15.3 详细 信息 @) 所 和 磁盘 实 间 13.3 上 Bn 
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图 16-3 安装 SMTP 服务 图 16-4 ”安装 远程 管理 服务 


16.2.2 配置 POP3 服务 器 


本 节 将 介绍 如 何 配置 POP3 服务 器 。 
1. 创建 邮件 域 


(1) 打开 “开始 ” 菜单， 选择“ 管理 工具 ”| “POP3 服务 ”命令 ， 打 开 POP3 服务 控制 台 
窗口 。 

(2) 选中 左 侧目 录 树 中 的 POP3 服务 器 之 后 ， 单 击 右 栏 中 的 “新 域 ” 选 项 ， 弹 出 “添加 
域 ” 对 话 框 ， 接 着 ， 在 “域名 ”文本 框 中 输入 邮件 服务 器 的 域名 ， 也 就 是 邮件 地 址 “@” 后 
面 的 部 分 ， 如 “buptsie.com”， 最 后 单 击 “ 确 定 ”按钮 ， 如 图 16-5 所 示 。 其 中 “buptsie.com” 
为 在 Intemet 上 注册 的 域名 ， 并 且 该 域名 在 DNS 服务 器 中 设置 了 MX 邮件 交换 记录 ,解析 到 
Windows Server 2003 邮件 服务 器 他 地 址 上 。 


图 16-5 设置 邮件 服务 器 的 域名 


2. 创建 用 户 邮箱 


选中 刚才 新 建 的 “buptsie.com” 域 ， 在 右 栏 中 单 击 “ 添 加 邮箱 ”选项 ， 弹 出 “添加 邮箱 ” 
对 话 框 ， 在 “邮箱 名 ”文本 框 中 输入 邮件 用 户 名 ， 然 后 设置 用 户 密码 ， 单 击 “确定 ”按钮 ， 
完成 邮箱 的 创建 ， 如 图 16-6 所 示 。 


添加 邮箱 x 
邮箱 名 加 ) 
ail| 
克 为 此 邮箱 创建 相关 联 的 用 户 (A) 
密码 人 ): Er 


16-6 ”设置 用 户 名 与 密码 


16.2.3 ”配置 SMTP 服务 器 


完成 POP3 服务 器 的 配置 后 ， 就 可 开始 配置 SMTP 服务 器 了 。 配 置 步 又 如 下 。 
(1) 打开 “开始 ”菜单 ， 选 择 “ 管 理工 具 ”| “Intemet 信息 服务 (IIS) 管 理 器 ”命令 ， 打 
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后 ) 不 强 芝 理 于 


开 Initemet 信息 服务 (IIS) 管 理 器 ， 如 图 16-7 所 示 。 
(2) 在 “HS 管理 器 ”窗口 中 右 击 “ 默 认 SMTP 虚拟 服务 器 ”选项 ， 从 弹出 的 快捷 菜单 中 
选择 “属性 ”命令 ,打开 “默认 SMTP 虚拟 服务 器 属性 ”窗口 ， 切 换 到 “常规 ”选项 卡 ， 在 
“JP 地 址 ”下 拉 列 表 框 中 选中 邮件 服务 器 的 他 地 址 ， 单 击 “ 确 定 ” 按 钮 ， 如 图 16-8 所 示 。 
这 样 一 个 简单 的 邮件 服务 器 就 架设 完成 了 。 
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16-7 “Internet 信息 服务 (IIS) 管 理 器 窗口 图 16-8 设置 邮件 服务 器 的 IP 地 址 


完成 以 上 设置 后 ， 用 户 就 可 以 使 用 邮件 客户 端 软件 连接 邮件 服务 器 进行 邮件 收发 工作 
了 。 在 设置 邮件 客户 端 软件 的 SMTP 和 POP3 服务 器 地 址 时 ， 输 入 邮件 服务 器 的 域名 
“puptsie.com” 即 可 。 


16.2.4 ”远程 Web 管理 
Windows Server 2003 支持 对 邮件 服务 器 的 远程 Web 管理 。 在 远 端 客户 机 中 ， 运 行 正 浏 


览 器 ,在 地 址 栏 中 输入 “https:// 服 务 器 瑟 地 址 :8098”， 将 打开 连接 对 话 框 ， 输 入 管理 员 用 户 
名 和 密码 ， 单 击 “确定 ”按钮 ， 即 可 登录 Web 管理 界面 。 


16.3 Outlook 邮件 客户 端 配置 


目前 ， 用 于 收发 邮件 的 软件 有 很 多 ， 为 大 家 所 熟知 的 有 微软 公司 的 Outlook Express， 
Netscape 公司 的 MailBox 以 及 中 国人 自己 编写 的 Foxmail 等 。 这 里 以 微软 公司 的 Outlook 
Express 软件 为 例 ， 介 绍 如何 利 用 Outlook Express 来 收发 邮件 。 
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16.3.1 创建 客户 端 邮件 帐户 


如 果 是 第 一 次 使 用 Outlook Express, 那么 Windows 会 自动 启动 Outlook 的 “连接 向 导 ”， 
帮助 用 户 创 建 客户 端 邮件 帐户 。 具 体 步骤 如 下 。 

(1) 打开 “开始 ”菜单 ， 选 择 “ 所 有 程序 ”| Outlook Express 命令 ， 打 开 Outlook Express。 
由 于 是 第 一 次 使 用 ， 系 统 会 自动 弹出 “Intemet 连接 向 导 ”， 在 “显示 名 ”文本 框 中 输入 用 于 
标识 邮箱 的 名 字 ， 如 squall， 如 图 16-9 所 示 。 

(2) 单 击 “ 下 一 步 ” 按 钮 ， 进 入 如 图 16-10 所 示 的 窗口 ， 在 “电子 邮件 地 址 ”文本 框 中 
输入 邮箱 全 名 ， 如 mail.buptsie.com。 


您 的 姓名 Internet 电子 邮件 地 址 
ee ’ RE “aA” A 效 的 电子 邮件 地 址 是 别人 用 来 结 您 发 送 电 子 籽 件 的 地 址 。 
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例如 ，Jahn Smith MAO: someonelni crosoft. con 
lsw) mm | mm | 
图 16-9 设置 邮箱 显示 名 16-10 ”设置 邮箱 地 址 


(3) 单 击 “ 下 一 步 ”按钮 ， 进 入 如 图 16-11 所 示 的 窗口 ， 在 接收 邮件 和 发 送 邮 件 服务 器 
中 分 别 输入 邮件 服务 器 的 地 址 www.buptsie.com, 也 可 以 输入 他 地 址 192.168.0.11, 如 图 16-11 
所 示 。 

(4) 单 击 “ 下 一 步 ”按钮 ， 输 入 已 创建 的 邮箱 帐户 名 与 密码 ， 如 果 邮 件 服务 器 使 用 了 安 
全 密码 验证 ， 则 要 选中 “使 用 安全 密码 验证 登录 ” 复 选 框 ， 如 图 16-12 所 示 。 


我 的 闻 件 过 疏 眼 务 器 是 多 ) [cr3 了 可 服务器， 册 己 名 让 ) pil | 
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Jiee" FF ef 
mIP 民品 是 你 用 米 改 过 部 件 的 服务器 。 站 ”来 访问 电子 邮 
发 送 邮 件 骤 务 要 GTP) 他 ); ， 请 选择 “ 和 
3) 
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图 16-11 设置 接收 邮件 和 发 送 邮件 服务 器 图 16-12 输入 帐户 名 与 密码 
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图 16-13 完成 邮件 创建 


16.3.2 ”使 用 Outlook 发 送 与 接收 邮件 


本 节 将 介绍 如 何 发 送 和 接收 邮件 。 


(1) 完成 创建 客户 端 邮件 帐户 后 ， 进 入 Outlook Express 主 窗口 ， 如 图 16-14 所 示 。 


ETRCTTETDETTORETTE2O 


[a | || 


| 有 不 人 可 地 ,在 “ 卫 系 人 "上 
亲人。 


A 


0 BEERTIF a 
16-14 ”Outlook Express 主 窗口 


(2) 单 击 左 上 角 的 “创建 邮件 ”图 标 ， 打 开 新 邮件 编辑 窗口 ， 测 试 给 自己 发 送 一 封 邮件 ， 
在 收 件 人 一 栏 中 输入 mailQ@buptsie.com， 抄 送 栏 可 以 为 室 ， 如 图 16-15 所 示 。 

(3) 单 击 工 具 栏 中 的 “发 送 ” 按 钮 ， 开 始 发 送 邮件 。 

如 果 发 送 邮件 失败 ， 说 明 客 户 端 无 法 找到 主机 ， 并 出 现 错误 信息 ， 如 图 16-16 所 示 。 通 
常 这 种 情况 是 由 于 DNS 服务 器 无 法 解析 域名 ， 需 要 修改 收发 服务 器 的 域名 ， 将 域名 改 为 他 


图 16-15 撰写 新 邮件 图 16-16 发 送 失 败 
2. 接收 邮件 
(1) 通过 Intemet 发 送 一 封 邮 件 到 mail@buptsie.com 中 。 
(2) 打开 Outlook Express 后 ， 单 击 工具 栏 中 的 “发 送 /接收 ”按钮 ， 开 始 接收 邮件 ， 查 看 
收 件 箱 ， 如 图 16-17 所 示 。 


16-17 接收 邮件 


(3) 如 果 出 现 出 错 信息 ， 可 以 选择 “工具 ” |“ 帐户” 命令， 打开 “Internet 帐户 ”设置 
窗口 ， 并 单 击 “ 邮 件 ”选项 卡 ， 如 图 16-18 所 示 。 

(4) 选择 要 修改 的 帐户 ， 然 后 单 击 “ 属 性 ”按钮 进入 帐户 “属性 ”窗口 ， 打 开 “ 服 务 器 ” 
选项 卡 进行 修改 ， 如 图 16-19 所 示 。 


图 16-18 选择 邮件 帐户 图 16-19 “服务 器 ”选项 卡 
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VPN 服 务 器 的 配置 和 管理 


VPN 节省 费用 ， 安 全 性 高 ， 使 用 灵活 ， 对 于 解决 远程 用 户 访问 内 
网 资源 非常 方便 。 

在 Windows Server 2003 中 ， 通 过 IPSec、PPTP 和 L2TP 等 工 
业 标 准 协议 ， 远 程 访问 服务 为 用 户 提供 了 集成 的 直接 拨号 和 虚拟 专用 
网 络 (VPN) 以 访问 公司 的 网 络 。 这 使 得 用 户 可 以 简便 而 又 安全 地 将 远 
程 系统 连接 到 属于 公司 网 络 的 单个 系统 或 分 支 系统 。 
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17.1 VPN 简介 


当 远 程 用 户 通过 拨号 方式 远程 访问 公司 或 企业 内 部 专用 网 络 的 时 候 ， 采 用 传统 的 远程 访 
问 方式 不 但 通讯 费用 比较 高 ， 而 且 在 与 内 部 专用 网 络 中 的 计算 机 进行 数据 传输 时 ， 不 能 保证 
通信 的 安全 性 。 为 了 避免 以 上 的 问题 ， 通 过 拨号 与 企业 内 部 专用 网 络 建立 VPN 连接 是 一 个 
理想 的 选择 。 

VPN(Virtual Private Network,， 虚 拟 专用 网 络 ) 是 一 门 网 络 新 技术 ,为 用 户 提供 了 一 种 通过 
公用 网 络 安全 地 对 企业 内 部 专用 网 络 进行 远程 访问 的 连接 方式 。 

一 个 网 络 连接 一 般 由 3 个 部 分 组 成 : 客户 机 、 传 输 介质 和 服务 器 。VPN 也 一 样 ， 不 同 的 
是 VPN 连接 使 用 隧道 作为 传输 通道 ， 这 个 隧道 是 建立 在 公共 网 络 或 专用 网 络 基础 之 上 的 ， 
如 Intemet 或 ntranet， 靠 的 是 对 数据 包 的 封装 和 加 密 。VPN 是 一 种 快速 建立 广 域 连接 的 互联 
和 访问 工具 ， 也 是 一 种 强化 网 络 安全 和 管理 的 工具 。VPN 建立 在 用 户 的 物理 网 络 之 上 、 融 入 
在 用 户 的 网 络 应 用 系统 之 中 。 

虚拟 专用 网 可 以 帮助 远程 用 户 、 公 司 分 支 机构 、 商 业 伙伴 及 供应 商 同 公司 的 内 部 网 建立 
可 信 的 安全 连接 ， 并 保证 数据 的 安全 传输 。 通 过 将 数据 流转 移 到 低 成 本 的 网 络 上 ， 一 个 企业 
的 虚拟 专用 网 解决 方案 将 大 幅度 地 减少 用 户 花费 在 城 域 网 和 远程 网 络 连接 上 的 费用 。 同 时 ， 
这 将 简化 网 络 的 设计 和 管理 ， 加 速 连接 新 的 用 户 和 网 站 。 另 外 ， 虚 拟 专用 网 还 可 以 保护 现 有 
的 网 络 投资 。 随 着 用 户 的 商业 服务 不 断 发 展 ， 企 业 的 虚拟 专用 网 解决 方案 可 以 使 用 户 将 精力 
集中 到 自己 的 生意 上 ， 而 不 是 网 络 上 。 虚 拟 专用 网 可 用 于 不 断 增长 的 移动 用 户 的 全 球 因 特 网 
接 入 ， 以 实现 安全 连接 ， 可 用 于 实现 企业 网 站 之 间 安 全 通信 的 虚拟 专用 线路 ， 用 于 经 济 有 效 
地 连接 到 商业 伙伴 和 用 户 的 安全 外 联网 虚拟 专用 网 。 

虚拟 专用 网 至 少 可 提供 如 下 功能 。 

(1) 加 密 数据 ， 以 保证 通过 公 网 传输 的 信息 即使 被 他 人 截获 也 不 会 泄露 。 

(2) 信息 认证 和 身份 认证 ， 保 证 信息 的 完整 性 、 合 法 性 ， 并 能 鉴别 用 户 的 身份 。 

(3) 提供 访问 控制 ， 不 同 的 用 户 有 不 同 的 访问 权限 。 


17.2 VPN 的 类 型 


针对 不 同 的 用 户 要 求 ，VPN 有 3 种 类 型 : 远程 访问 虚拟 网 (Virtual Private Dial Network)、 
内 部 虚拟 网 (Intranet VPN) 和 扩展 虚拟 网 (Extranet VPN)， 这 3 种 类 型 的 VPN 分 别 对 应 传统 的 
远程 访问 网 络 、 内 部 的 Intranet 和 相关 内 部 网 所 构成 的 Extranet。 


17.2.1 远程 访问 虚拟 网 VPDN(Virtual Private Dial Network) 


VPDN 是 在 远程 用 户 或 移动 雇员 和 公司 内 部 网 之 间 的 VPN。 其 实现 过 程 为 : 用 户 首先 拨 
号 网 络 服务 提供 商 (NSP) 的 网 络 访问 服务 器 (NAS，Network Access Server)， 接 着 发 出 PPP 连 
接 请 求 ，NAS 收 到 呼叫 后 ， 就 在 用 户 和 NAS 之 间 建 立 PPP 链 路 ， 然 后 ，NAS 对 用 户 进 行 身 
份 验证 , 确定 是 否 是 合法 用 户 , 如果 是 ,启动 VPDN 功能 , 这 样 就 可 以 与 公司 总 部 内 部 连接 ， 
访问 其 内 部 资源 。 远 程 访问 虚拟 网 可 以 使 用 户 随 时 、 随 地 访问 企业 资源 。 


17.2.2 企业 内 部 虚拟 网 Intranet VPN 


Intranet VPN 是 在 公司 远程 分 支 机 构 的 LAN 和 公司 总 部 LAN 之 间 的 VPN。 其 通过 
Internet 这 一 公共 网 络 将 公司 在 各 地 分 支 机 构 的 LAN 连接 到 公司 总 部 的 LAN, 以 便 访问 公司 
内 部 的 资源 , 并 进行 文件 传递 等 工作 , 它 可 节省 DDN 等 专线 所 带 来 的 高 额 费 用 。Intranet VPN 
通过 一 个 使 用 专用 连接 的 共享 基础 设施 来 连接 各 分 支 机 构 ,它们 拥有 与 专用 网 络 的 相同 政策 ， 
包含 安全 、 服 务 质量 、 可 管理 性 和 可 靠 性 。 


17.2.3 企业 扩展 虚拟 网 Extranet VPN 


在 供应 商 、 商 业 合作 伙伴 的 LAN 和 公司 的 LAN 之 间 的 VPN， 就 是 Extranet VPN。 由 于 
不 同 网 络 环境 的 差异 性 ，Extranet VPN 产品 必须 能 兼容 不 同 的 操作 平台 和 协议 。 由 于 用 户 的 
多 样 性 ， 公 司 的 网 络 管理 员 还 必须 设置 特定 的 访问 控制 表 ACL(Access Control List)， 然 后 根 
据 访问 者 的 身份 、 网 络 地 址 等 参数 ， 来 确定 所 相应 的 访问 权限 ， 从 而 开放 部 分 资源 而 非 全 部 
资源 给 外 联网 的 用 户 。 


17.3 VPN 的 特点 


1. 降低 费用 

首先 远程 用 户 可 以 通过 向 当地 的 ISP 申请 帐户 登录 到 Intemet， 以 Intemet 作为 隧道 与 企业 
内 部 专用 网 络 相 连 , 通信 费用 大 幅度 降低 ; 其 次 , 企业 还 可 以 节省 购买 和 维护 通讯 设备 的 费用 。 

2. 增强 的 安全 性 


虚拟 专用 网 络 的 最 重要 任务 是 : 解决 数据 在 传输 中 的 安全 性 问题 。VPN 通过 使 用 点 到 点 
协议 PPP) 用 户 级 身份 验证 的 方法 进行 验证 ， 这 些 验证 方法 包括 : 密码 身份 验证 协议 (PAP)、 


Ry es 
A —- 


103E 人 TE 


握手 身份 验证 协议 (CHAP)、Shiva 密码 身份 验证 协议 (SPAP)、Microsoft 质询 握手 身份 验 
证 协议 (MS-CHAP) 和 可 选 的 可 扩展 身份 验证 协议 (EAP); 并 且 采 用 微软 点 对 点 加 密 算法 
(MPPE) 和 网 际 协议 安全 (PSec) 机 制 对 数据 进行 加 密 。 以 上 的 身份 验证 和 加 密 手 段 由 远程 VPN 
服务 器 强制 执行 。 另 外 ，VPN 的 安全 性 还 可 通过 隧道 技术 、 加 密 和 认证 技术 得 到 解决 。 对 于 
敏感 的 数据 , 可 以 使 用 VPN 连接 通过 VPN 服务 器 将 高 度 敏感 的 数据 服务 器 物理 地 进行 分 隔 ， 

只 有 企业 Intranet 上 拥有 适当 权限 的 用 户 才能 通过 远程 访问 建立 与 VPN 服务 器 的 VPN 连接 ， 
并 且 可 以 访问 敏感 部 门 网 络 中 受到 保护 的 资源 。 


3. 网 络 协议 支持 

VPN 支持 最 常用 的 网 络 协议 ， 基 于 全、IPX 和 NetBEUI 协议 网 络 中 的 客户 机 都 可 以 很 
容易 地 使 用 VPN。 这 意味 着 通过 VPN 连接 可 以 远程 运行 依赖 于 特殊 网 络 协议 的 应 用 程序 。 

4. IP 地 址 安全 

因为 VPN 是 加 密 的 ，VPN 数据 包 在 Intemet 中 传输 时 ，Intemet 上 的 用 户 只 看 到 公用 的 
JP 地 址 ， 看 不 到 数据 包 内 包含 的 专 有 网 络 地 址 。 因 此 远程 专用 网 络 上 指定 的 地 址 是 受到 保护 
的 。 为 了 保障 信息 的 安全 ，VPN 技术 利用 可 靠 的 加 密 认证 技术 ， 在 内 部 网 络 建立 隧道 ， 以 防 
止 信息 被 泄漏 、 算 改 和 复制 。 


5. 可 扩展 性 和 灵活 性 
其 可 扩展 性 和 灵活 性 可 以 简化 网 络 的 设计 和 管理 ， 加 速 连接 新 用 户 和 网 站 。 另 外 ， 虚 拟 
专用 网 还 可 以 保护 现 有 的 网 络 投资 ， 如 果 有 新 的 内 部 网 络 想 加 入 安全 连接 ， 只 需 添 加 一 台 
VPN 设备 ， 改 变相 关 配置 即 可 。 
17.4 VPN 工作 原理 


VPN 的 工作 原理 需要 使 用 VPN 隧道 技术 ， 其 实现 过 程 如 图 17-1 所 示 。 
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17-1 VPN 的 工作 原理 
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通常 情况 下 ，VPN 网 关 采 用 双 网 卡 结构 ， 外 网 卡 使 用 公共 了 P 接 入 Intemet; 如果 网 络 一 
的 终端 A 需要 访问 网 络 二 的 终端 B, 其 发 出 的 访问 数据 包 的 目标 地 址 为 终端 也 的 下 (内 部 PD; 
网 络 一 的 VPN 网 关 在 接收 到 终端 A 发 出 的 访问 数据 包 时 ， 对 其 目标 地 址 进行 检查 ， 如 果 目 
标 地 址 属于 网 络 二 的 地 址 ， 则 将 该 数据 包 进 行 封 装 ， 封 装 的 方式 根据 所 采用 的 VPN 技术 不 
同 而 不 同 ， 同 时 VPN 网 关 会 构造 一 个 新 的 数据 (VPN 数据 包 )， 并 将 封装 后 的 原 数据 包 作为 
VPN 数据 包 的 负载 ，VPN 数据 包 的 目标 地 址 为 网 络 二 的 VPN 网 关 的 外 部 地 址 ;网 络 一 的 
VPN 网 关 将 VPN 数据 包 发 送 到 Intemet， 由 于 VPN 数据 包 的 目标 地 址 是 网 络 二 的 VPN 网 关 
的 外 部 地 址 ， 所 以 该 数据 包 将 被 Intemet 中 的 路 由 正确 地 发 送 到 网 络 二 的 VPN 网 关 ; 网 络 二 
的 VPN 网 关 对 接收 到 的 数据 包 进 行 检查 ， 如 果 发 现 该 数据 包 是 从 网 络 一 VPN 网 关 发 出 的 ， 
即 可 判定 该 数据 包 为 VPN 数据 包 ， 并 对 该 数据 包 进行 解 包 处 理 ， 现 将 VPN 数据 包 的 包头 剥 
离 ， 再 将 负载 通过 VPN 技术 反 向 处 理 ， 还 原 成 原始 的 数据 包 ; 网 络 二 的 VPN 网 关 将 还 原 后 
的 原始 数据 包 发 送 至 目标 终端 ,由 于 原始 数据 包 的 目标 地 址 是 终端 B 的 也， 所 以 该 数据 包 能 
够 被 正确 地 发 送 到 终端 B。 在 终端 B 看 来 , 它 收 到 的 数据 包 就 像 从 终端 A 直接 发 过 来 的 一 样 ; 
从 终端 B 返回 终端 A 的 数据 包 处 理 过程 , 与 上 述 过 程 一 样 , 这 样 两 个 网 络 内 的 终端 就 可 以 相 
互通 讯 了 。 

通过 上 述 原理 说 明 可 以 发 现 ， 在 VPN 网 关 对 数据 包 进行 处 理 时 ， 有 两 个 参数 对 VPN 隧 
道 通讯 十 分 重要 : 原始 数据 包 的 目标 地 址 (VPN 目标 地 址 ) 和 远程 VPN 网 关 地 址 。 根 据 VPN 
目标 地 址 ，VPN 网 关 能 够 判断 对 哪些 数据 包 需 要 进行 VPN 处 理 ， 对 于 不 需要 处 理 的 数据 包 
通常 情况 下 可 直接 转发 到 上 级 路 由 ;远程 VPN 网 关 地 址 ， 则 指定 了 处 理 后 的 VPN 数据 包 发 
送 的 目标 地 址 ， 即 VPN 隧道 另 一 端的 VPN 网 关 地 址 。 由 于 网 络 通信 是 双向 的 ， 在 进行 VPN 
通讯 时 ， 隧 道 两 端的 VPN 网 关 ， 都 必须 知道 VPN 目标 地 址 和 与 此 对 应 的 远 端 VPN 网 关 地 址 。 


17.5 ”VPN 关键 实现 技术 


VPN 将 物理 分 布 在 不 同 地 点 的 网 络 通过 公共 互联 网 络 基础 设施 , 用 一 定 的 技术 手段 ， 达 
到 类 似 私 有 专用 网 的 数据 安全 传输 。 因此 ，VPN 能 够 像 专线 一 样 在 公共 互联 网 上 处 理 自己 的 
信息 流 。VPN 作为 一 种 综合 的 网 络 安全 方案 包含 了 很 多 重要 的 技术 。VPN 实现 的 两 个 关键 
技术 是 隧道 技术 和 加 密 技 术 ， 同 时 QoS 技术 对 VPN 的 实现 也 至 关 重 要 。 


17.5.1 隧道 技术 


VPN 区 别 于 一 般 网 络 互联 的 关键 在 于 隧道 的 建立 , 然后 数据 包 经 过 加 密 后 , 按 隧 道 协 议 
进行 封装 、 传 送 以 保安 全 性 。 隧 道 技术 简单 地 说 就 是 : 原始 报 文 在 A 地 进行 封装 ， 到 达 B 地 
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后 把 封装 去 掉 还 原 成 原始 报 文 这样 就 形成 了 一 条 由 A 到 B 的 通信 隧道 。 一 般 来 说 , 在 数据 
链 路 层 实现 数据 封装 的 协议 叫 第 二 层 隧道 协议 , 常用 的 有 封装 (Generic Routing Encapsulation， 
GRE)、L2TP 和 PPTP 等 ; 在 网 络 层 实现 数据 封装 的 协议 叫 第 三 层 隧道 协议 , 如 了 PSec; 另外 ， 
SOCKS v5 协议 则 在 TCP 层 实现 数据 安全 。 

1. 封装 (Generic Routing Encapsulation，GRE) 


封装 用 于 源 路 由 和 终 路 由 之 间 所 形成 的 隧道 ， 其 实现 过 程 如 下 : 将 报 文 用 一 个 新 的 报 文 
头 进行 封装 后 ( 带 着 隧道 终点 地 址 ) 放 入 专用 隧道 中 。 当 封装 的 这 个 报 文 到 达 专用 隧道 终点 后 ， 
封装 报 文 头 被 剥 掉 ， 继 续 进行 原始 报 文 的 目标 地 址 的 寻 址 工作 。 

GRE 的 缺点 主要 为 隧道 的 规模 数量 大 、 管 理 费 用 高 等 。GRE 配置 和 维护 隧道 所 需 的 费 
用 和 隧道 的 数量 是 直接 相关 的 。 在 远程 用 户 中 ， 多 数 是 采用 拨号 上 网 访问 VPN， 可 以 通过 
L2TP 和 PPTP 来 加 以 解决 。 

2. L2TP 和 PPTP 


1996 年 ，Microsoft 和 Ascend 等 在 PPP 协议 的 基础 上 开发 了 PPTP 协议 (Point-to-Point 
Tunneling Protocol), 它 集成 于 Windows NT Server 4.0 中 , Windows 9.X、Windows Server 2003 
和 Windows XP 也 提供 相应 的 客户 端 软件 。 PPP 支持 多 种 网 络 协议 , 可 把 他 协议 、IPX 协议 、 
AppleTalk 协议 或 NetBEUI 协议 的 数据 包 封装 在 PPP 包 中 ， 再 将 整个 报 文 封装 在 PPTP 隧道 
协议 包 中 ， 最 后 ， 再 嵌入 IP 报 文 或 帧 中 继 中 进行 传输 。PPTP 提供 流量 控制 功能 ， 减 少 拥塞 
的 可 能 性 ， 可 避免 由 包 丢弃 而 引发 包 重 传 的 数量 。PPTP 的 加 密 方法 采用 Microsoft 点 对 点 加 
密 (MPPE: Microsoft Point-to-Point Encryption) 算 法 ， 可 以 选用 较 弱 的 40 位 密 钥 或 强度 较 大 的 
128 位 密 钥 。 

1996 年 ，Cisco 提出 L2F(Layer 2 Forwarding) 隧 道 协议 , 它 也 支持 多 协议 , 但 其 主要 用 于 
Cisco 的 路 由 器 和 拨号 访问 服务 器 。1997 年 底 ，Microsoft 和 Cisco 公司 把 PPTP 协议 和 L2F 
协议 的 优点 结合 在 一 起 ， 形 成 了 L2TP 协议 (Layer 2 Tunneling Protocol)。 

优点 : PPTP/L2TP 对 用 微软 操作 系统 的 用 户 来 说 很 方便 ， 因 为 微软 已 把 它 作 为 路 由 软件 
的 一 部 分 。PPTP/L2TP 支持 其 他 网 络 协议 ， 如 Novell 的 了 PX，NetBEUI 和 Apple Talk 协议 ， 
还 支持 流量 控制 。 它 通过 减少 丢弃 包 来 改善 网 络 性 能 ， 这 样 可 减少 重 传 。 

缺点 : PPTP 和 L2TP 将 不 安全 的 他 包 封装 在 安全 的 人 包 内 ， 它 们 用 人 P 帧 在 两 台 计 算 
机 之 间 创 建 和 打开 数据 通道 ， 一 旦 通道 打开 ， 源 和 目的 用 户 身份 就 不 再 需要 ， 这 样 可 能 带 来 
问题 。 它 不 对 两 个 节点 间 的 信息 传输 进行 监视 或 控制 。PPTP 和 LIL2TP 限制 同时 最 多 只 能 连接 
255 个 用 户 。 端 点 用 户 需 要 在 连接 前 手工 建立 加 密 信 道 。 认 证 和 加 密 受到 限制 ， 没 有 强加 密 
和 认证 支持 。 

PPTP 和 L2TP 最 适合 用 于 远程 访问 虚拟 专用 网 , L2TP 用 于 比较 固定 的 、 集 中 的 VPN 用 
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户 ， 而 PPTP 比较 适合 移动 用 户 ， 但 相 比 来 说 ，L2TP 比 PPTP 更 安全 。 
3. IPSec 


IPSec(Intemet Protocol Security) 是 IETF(mtermet Engineer Task Force) 正 在 完善 的 安全 标 
准 , 它 把 几 种 安全 技术 结合 在 一 起 形成 一 个 较为 完整 的 体系 , 受到 了 众多 厂商 的 关注 和 支持 。 
通过 对 数据 加 密 、 认 证 、 完 整 性 检查 来 保证 数据 传输 的 可 靠 性 、 私 有 性 和 保密 性 。IPSec 由 
卫 认证 头 AH(Authentication Header)、IP 安全 载荷 封 载 ESP(Encapsulated Security Payload) 和 
密 钥 管理 协议 组 成 。 

IPSec 协议 是 一 个 范围 广泛 、 开 放 的 虚拟 专用 网 安全 协议 。IPSec 适应 向 全 v6 迁移 ， 它 
提供 所 有 在 网 络 层 上 的 数据 保护 ， 提 供 透 明 的 安全 通信 。IPSec 用 密码 技术 从 3 个 方面 来 保 
证 数据 的 安全 。 

(1) 认证 。 用 于 对 主机 和 端点 进行 身份 鉴别 。 

(2) 完整 性 检查 。 用 于 保证 数据 在 通过 网 络 传输 时 没有 被 修改 。 

(3) 加 密 。 加 密 下 地 址 和 数据 以 保证 私有 性 。 

IPSec 协议 可 以 设置 成 在 隧道 模式 和 传输 模式 两 种 模式 下 运行 。 隧 道 模式 是 最 安全 的 ， 
但 会 带 来 较 大 的 系统 开销 。 隧 道 模 式 下 ，IPSec 把 人 P v4 数据 包 封装 在 安全 的 他 帧 中 ， 可 以 
保护 从 一 个 防火 墙 到 另 一 个 防火 墙 时 的 安全 性 。 隧 道 模式 下 ， 信 息 封 装 是 为 了 保护 端 到 端的 
安全 性 ， 即 在 这 种 模式 下 不 会 隐藏 路 由 信息 。IPSec 现在 还 不 完全 成 熟 ， 但 它 得 到 了 一 些 路 
由 器 厂商 和 硬件 厂商 的 大 力 支持 ， 今 后 将 成 为 虚拟 专用 网 的 主要 标准 ， 有 扩展 能 力 以 适应 未 
来 商业 的 需要 。1997 年 底 ，IETF 安全 工作 组 完成 了 IPSec 的 扩展 ， 在 IPSec 协议 中 加 上 
ISAKMP(Internet Security Association and Key Management Protocol) 协 议 ， 这 其 中 还 包括 一 个 
密 钥 分 配 协议 Oakley。ISAKMP/Oakley 支持 自动 建立 加 密 信道 , 密 钥 的 自动 安全 分 发 和 更 新 。 
IPSec 也 可 用 于 连接 其 他 层 已 存在 的 通信 协议 ， 如 支持 安全 电子 交易 (SET: Secure Electronic 
Transaction) 协 议和 SSL(Secure Socket layeD 协 议 。 即 使 不 用 SET 或 SSL, IPSec 也 能 提供 认证 
和 加 密 手段 以 保证 信息 的 传输 。 

优点 : 它 定 义 了 一 套用 于 认证 、 保 护 私有 性 和 完整 性 的 标准 协议 。 下 Sec 支持 一 系列 加 
密 算法 如 DES、 三 重 DES、IDEA。 它 检查 传输 的 数据 包 的 完整 性 ， 用 来 确保 数据 没有 被 修 
改 。IPSec 用 来 在 多 个 防火 墙 和 服务 器 之 间 提 供 安全 性 。IPSec 可 确保 运行 在 TCP/IP 协议 上 
的 VPNs 之 间 的 互 操 作 性 。 

缺点 : IPSec 在 客户 机 /服务 器 模式 下 实现 有 一 些 问 题 ， 实 际 应 用 中 ， 需 要 公 钥 来 完成 。 
IPSec 需要 已 知 范围 的 卫 地 址 或 固定 范围 的 人 P 地 址 ， 因 此 在 动态 分 配 人 P 地 址 时 不 适合 于 
IPSec。 除 TCP/IP 协议 外 ，IPSec 不 支持 其 他 协议 。 除 了 包 过 滤 之 外 ， 它 没有 指定 其 他 访问 控 
制 方法 。 最 大 缺点 是 微软 公司 对 IPSec 的 支持 不 够 。 

IPSec 是 最 适合 可 信 的 LAN 到 LAN 之 间 的 虚拟 专用 网 ， 即 内 部 网 虚拟 专用 网 。 
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4. SOCKS v5 


SOCKS v5 由 NEC 公司 开发 的 ， 是 建立 在 TCP 层 上 安全 协议 ， 是 一 个 需要 认证 的 防火 
墙 协议 ， 因 此 ，SOCKS 协议 的 优势 在 访问 控制 ，SOCKS 同 SSL 协议 配合 使 用 时 ， 适 合用 于 
安全 性 较 高 的 虚拟 专用 网 。 可 与 特定 TCP 端口 相连 的 应 用 建立 特定 的 隧道 ， 可 协同 IPSec、 
L2TP、PPTP 等 协议 一 起 使 用 。 

SOCKS v5 有 如 下 优点 : SOCKS v5 位 于 OSI 模型 的 会 话 层 控制 数据 流 ， 它 定义 了 非常 
详细 的 访问 控制 策略 。SOCKS v5 在 客户 机 和 主机 之 间 可 建立 了 一 条 虚 电 路 ， 根 据 对 用 户 的 
认证 进行 监视 和 访问 控制 。SOCKS v5 和 SSL 工作 在 会 话 层 ， 所 以 能 向 低层 协议 如 IP v4， 
PPTP，L2TP 等 一 起 使 用 ，SOCKS v5 可 提供 非常 复杂 的 方法 来 保证 信息 安全 传输 。 如 让 
SOCKS V5 同 防火 墙 结合 起 来 使 用 ， 数 据 包 经 一 个 唯一 的 防火 墙 端口 (默认 的 是 1080) 到 代理 
服务 器 , 然后 再 经 代理 服务 器 过 滤 发 往 目的 计算 机 的 数据 , 就 可 以 防止 防火 墙 上 存在 的 漏洞 。 
SOCKS v5 可 为 认证 、 加 密 和 密 钥 管理 提供 “插件 ”模块 ， 能 让 用 户 很 自由 地 采用 他 们 所 需 
要 的 技术 。SOCKS v5 还 可 根据 规则 过 滤 数 据 流 ， 包 括 Java Applet 和 ActiveX 控件 。 

SOCKS v5 的 缺点 : 由 于 SOCKS v5 是 通过 代理 服务 器 来 增加 一 层 安全 性 ， 所 以 其 性 能 
往往 比 低层 协议 差 。 尽 管 它 比 网 络 层 和 传输 层 的 方案 要 更 安全 ， 但 需要 制定 比 低层 协议 更 为 
复杂 的 安全 管理 策略 。 

基于 SOCKS v5 的 虚拟 专用 网 最 适合 客户 机 到 服务 器 的 连接 模式 ， 适 合用 于 外 联网 虚拟 
专用 网 。 


17.5.2 加 密 技术 


加 密 技术 是 目前 数据 传输 过 程 中 最 常用 的 安全 保密 手段 ， 利 用 加 密 技术 可 把 把 重要 的 数 
据 变 为 乱码 (加 密 ) 传 送 ， 到 达 目 的 地 后 再 用 相同 或 不 同 的 手段 还 原 (解密 )。 

加 密 技术 包括 两 个 重要 元 素 : 算法 和 密 钥 。 算 法 是 将 普通 的 信息 或 者 可 以 理解 的 信息 与 
一 串 数字 ( 密 钥 ) 结 合 ， 产 生 不 可 理解 的 密 文 的 步骤 ， 密 钥 是 用 来 对 数据 进行 编码 和 解密 的 一 
种 算法 。 在 安全 保密 中 ， 可 通过 适当 的 钥 加 密 技 术 和 管理 机 制 来 保证 网 络 的 信息 通信 安全 。 

在 VPN 中 ， 当 数据 离开 发 送 者 所 在 的 局 域 网 时 ， 该 数据 首先 被 用 户 端 连 接 到 互联 网 上 
的 路 由 器 进行 硬件 加 密 ， 数 据 在 互联 网 上 是 以 加 密 的 形式 传送 的 ， 当 达到 目的 网 络 的 路 由 器 
时 ， 该 路 由 器 就 会 对 数据 进行 解密 ， 这 样 目的 网 络 中 的 用 户 就 可 以 看 到 真正 的 信息 了 。 


17.5.3 QoS( 服 务 质量 保证 ) 技 术 


Qos 服务 质量 保证 是 英文 Quality of Service 的 简写 。 隧 道 技术 和 加 密 技 术 使 用 户 已 经 
能 够 建立 起 一 个 具有 安全 性 、 互 操作 性 的 VPN， 但 VPN 性 能 上 天 生存 在 不 稳定 ， 这 就 在 管 


理 上 一 定 成 都 不 能 满足 企业 的 要 求 ， 这 就 要 加 入 QoS 技术 。 实 现 良好 QoS 网 络 的 目标 就 是 
要 在 有 限 的 网 络 资源 情况 下 ， 尽 可 能 地 保证 与 提高 网 络 服务 的 质量 。 

一 般 来 说 ， 网 络 资源 是 有 限 的 ，VPN 在 QoS 中 应 该 提高 数据 传输 的 网 络 带宽 ， 防 止 
数据 拥塞 、 提 高 用 户 链接 的 反应 时 间 、 减 少数 据 报 文 包 丢 失 的 比率 等 。 

通过 QoS 机 制 对 用 户 的 网 络 资源 分 配 进行 控制 以 满足 应 用 的 需求 .QoS 机 制 具 有 通信 处 
理 机 制 以 及 供应 (Provisioning) 和 配置 (Configuration) 机 制 。 这 些 QoS 机 制 相互 作用 使 网 络 资源 
得 到 最 大 化 利用 ， 同 时 又 向 用 户 提 供 了 一 个 性 能 良好 的 网 络 服务 。 


17.6 ”Windows Server 2003 VPN 连接 的 组 件 


Windows Server 2003 的 “路 由 器 到 路 由 器 ”VPN 连接 包含 以 下 组 件 。 

1. 虚拟 专用 网 络 (VPN) 客 户 机 

VPN 客户 机 是 初始 化 VPN 连接 的 路 由 器 ， 也 称 为 呼叫 路 由 器 。 对 于 “路 由 器 到 路 由 
器 ”VPN 连接 ， 可 以 将 运行 Windows Server 2003 的 计算 机 和 运行 “路 由 和 远程 访问 服务 
(RRAS)” 的 计算 机 配置 为 VPN 客户 机 。 

2. VPN 服务 器 

VPN 服务 器 是 接收 来 自 呼叫 路 由 器 连接 的 路 由 器 ， 也 称 为 应 答 路 由 器 。 对 于 “路 由 器 
到 路 由 器 ”VPN 连接 ， 用 户 可 以 将 运行 Windows Server 2003 的 计算 机 和 运行 Windows NT 
Server 4.0 以 及 “路 由 和 远程 访问 服务 (RRAS)” 的 计算 机 配置 为 VPN 客户 机 。 

3. LAN 和 远程 访问 协议 

LAN 协议 用 于 传送 消息 。 远 程 访 问 协议 用 于 协商 连接 并 提供 LAN 协议 数据 的 帧 。 通 
过 使 用 穿越 “路 由 器 到 路 由 器 ”VPN 连接 的 PPP 远程 访问 协议 , Windows Server 2003 支持 
TCP/IP 和 IPX LAN 协议 数据 包 的 路 由 选择 。 

4. 隧道 协议 

VPN 客户 机 和 VPN 服务 器 使 用 隧道 协议 以 管理 隧道 和 发 送 隧道 的 数据 。Windows 
Server 2003 包含 “点 对 点 的 隧道 协议 (PPTP)” 和 “第 二 层 隧 道 协 议 (L2TP)”。 带 有 RRAS 的 
Windows 2000 只 包含 PPTP 隧道 协议 。 

5. WAN 选项 


VPN 服务 器 通常 使 用 诸如 T1 或 帧 中 继 的 永久 性 WAN 连接 连 到 Intemet 上 。VPN 客户 
机 通过 使 用 永久 性 WAN 连接 或 拨 入 到 本 地 Intemet 服务 商 GSP)，ISP 使 用 标准 的 电话 线 或 
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ISDN 连接 到 Intermet 上 。 一旦 连接 到 Intemet 上 ，VPN 客户 机 就 可 以 连接 到 VPN 服务 器 上 。 

6. 请 求 拨号 接口 

VPN 客户 机 (呼叫 路 由 器 ) 必 须 配置 的 请 求 拨号 接口 是 Intemet 上 VPN 服务 器 接口 的 主机 
名 称 或 他 地址 。 

7. 用 户 帐户 

必须 创建 呼叫 路 由 器 的 用 户 帐户 。 通 过 用 户 帐户 的 拨 入 属性 或 远程 访问 策略 ， 此 帐户 必 
须 拥有 拨 入 权限 详细 信息 。 

8. 静态 路 由 或 路 由 协议 

为 了 每 个 路 由 器 都 能 穿越 “路 由 器 到 路 由 器 ”VPN 连接 传送 数据 包 ， 在 每 个 路 由 器 的 
路 由 选择 表 中 必须 包含 适当 的 路 由 。 将 路 由 作为 静态 路 由 或 通过 启用 路 由 协议 添加 到 双方 路 
由 器 的 路 由 表 中 ， 以 穿越 永久 性 “路 由 器 到 路 由 器 ”VPN 连接 进行 操作 。 

9. 安全 选项 
因为 Windows Server 2003 远程 访问 路 由 器 验证 “路 由 器 到 路 由 器 ”VPN 连接 ， 所 以 可 


以 利用 Windows Server 2003 远程 访问 的 所 有 安全 性 能 , 包括 Windows Server 2003 域 安全 性 、 
对 安全 主机 的 支持 、 数 据 加 密 、“ 远 程 身 份 验证 拨 入 用 户 服务 (RADIUS)” 智 能 卡 和 回 拨 。 


17.7 ”创建 VPN 服务 器 


创建 VPN 服务 器 的 具体 步骤 如 下 。 
(1) 打开 “开始 ”菜单 ， 选 择 “ 程 序 ”| “管理 工具”|“ 配 置 您 的 服务 器 向 导 ” 命 令 ， 启 
动 “ 配 置 您 的 服务 器 向 导 ”， 如 图 17-2 所 示 。 
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图 17-2 配置 服务 器 向 导 
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利 击 “下 一 步 ”， 朵 导 相近 站 汉王 所 。 
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图 17-3 配置 服务 器 向 导 


(3) 系统 会 自动 扫描 当前 开启 的 服务 及 其 状态 ， 根 据 服务 器 硬件 配置 ， 所 需 时 间 也 会 不 
同 ， 一 般 为 2 分钟 左右 ， 如 图 17-4 所 示 。 

(4) 如 果 本 机 没有 开启 VPN 服务 ， 则 在 “服务 器 角色 ”对 话 框 中 显示 “远程 访问 /VPN 
服务 器 ”已 配置 状态 为 “ 否 ”， 如 图 17-5 所 示 。 
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图 17-4 ”自动 扫描 状态 图 17-5 VPN 服务 器 配置 状态 


(5) 在 “服务 器 角色 ”对 话 框 中 选中 “远程 访问 /VPN 服务 器 ”， 然 后 单 击 “ 下 一 步 ” 按 
钮 ,开始 安装 VPN 服务 器 。 系统 会 配置 VPN 服务 组 件 ， 并 自动 安装 到 本 地 计算 机 的 硬盘 中 。 
当 组 件 安装 完毕 后 ， 用 户 就 可 以 打开 “开始 ”菜单 ， 选 择 “ 程 序 ”|“ 管 理工 具 ”|“ 路 由 和 远 
程 访 问 ” 命 令 。 进 行 VPN 服务 器 的 相关 配置 了 。 


17.8 ”配置 VPN 服务 器 


需要 注意 的 是 ， 如 果 要 配置 VPN 服务 器 ， 最 好 服务 器 配置 有 双 网 卡 ， 一 块 对 内 部 使 用 ， 
一 块 对 外 网 使 用 。 另 外 主要 配置 好 VPN 的 对 外 下 地 址 和 远程 用 户 。 另 外 ,Windows Server 2003 
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尺 ) 本 融和 皆 理 二 时 
中 的 远程 访问 服务 就 是 VPN 服务 ， 如 果 不 特 殊 说 明 ， 这 两 种 说 法 都 可 以 通用 。 
17.8.1 VPN 基本 配置 和 管理 


在 启用 和 配置 远程 访问 服务 之 前 ， 管 理 员 需要 在 服务 器 上 安装 远程 访问 服务 软件 和 硬 
件 ， 其中， 安装 软件 是 指 安装 远程 访问 这 个 Windows 组 件 ; 安装 硬件 是 指 安装 远程 访问 所 需 
要 的 连接 设备 ， 如 网 卡 、 调 制 解 调 器 、 多 端口 适配器 X.25 智能 卡 或 ISDN 适配器 等 。 完 成 远 
程 访问 所 需要 的 软 硬 件 之 后 ， 管 理 员 即 可 进行 远程 访问 服务 的 基本 配置 和 管理 工作 。 无 论 管 
理 员 是 通过 拨号 网 络 提供 远程 访问 服务 ， 还 是 通过 VPN 提供 远程 访问 服务 ， 都 需要 进行 这 
些 工作 。 


1. 添加 远程 访问 服务 器 


添加 远程 访问 服务 器 就 是 将 远程 访问 服务 器 添加 到 “路 由 和 远程 访问 ”控制 台 。 默 认 情 
况 下 , 安装 Windows Server 2003 远程 访问 服务 之 后 ,系统 自动 将 本 地 计算 机 作为 远程 访问 服 
务 器 添加 到 “路 由 和 远程 访问 ”控制 台中 ， 以 供用 户 使 用 。 但 是 ， 如 果 用 户 需 要 其 他 远程 访 
问 服务 器 或 已 有 的 远程 访问 服务 器 被 删除 时 ， 就 要 手动 添加 远程 访问 服务 器 以 满足 远程 访问 
的 需要 。 不 过 ， 在 添加 远程 访问 服务 器 之 前 ， 该 服务 器 必须 被 正确 地 安装 远程 访问 服务 。 


2. 配置 和 启动 远程 访问 服务 


如 果 用 户 第 一 次 将 本 地 计算 机 作为 远程 访问 服务 器 添加 到 控制 台 ， 则 这 人 台 服 务 器 并 没有 
被 配置 和 启动 ， 需 要 用 户 手动 进行 配置 和 启用 ， 以 便 向 远程 访问 用 户 提供 服务 。 另 外 ， 用 户 
添加 的 其 他 远程 访问 服务 器 也 没有 启动 和 配置 ， 同 样 需要 用 户 手动 进行 相应 的 操作 。 

启动 和 配置 远程 访问 服务 器 的 步 又 如 下 。 

(1) 打开 “路 由 和 远程 访问 ”控制 台 窗口 ， 在 控制 台 目录 树 中 需要 配置 和 启用 的 远程 访 
问 服务 器 上 单 击 鼠 标 右键 ， 然 后 在 弹出 的 快捷 菜单 中 选择 “配置 并 启用 路 由 和 远程 访问 ” 命 
令 ， 打 开 “ 路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 。 单 击 “ 下 一 步 ”按钮 ， 打 开 “ 配 置 ” 
对 话 框 ， 要 使 远程 计算 机 能 够 拨 入 服务 器 和 服务 器 所 在 的 网 络 ， 可 以 选中 “远程 访问 ” 单 选 
按钮 ， 要 使 远程 计算 机 能 够 通过 Intemet 连接 到 网 络 ， 则 需要 选中 “虚拟 专用 网 络 (VPN) 访 问 
和 NAT” 单 选 按钮 。 本 例 选中 “远程 访问 ” 单 选 按 钮 ， 如 图 17-6 所 示 。 

(2) 单 击 “ 下 一 步 ”按钮 ， 打开“ 远程 访问 ”对 话 框 , 用 户 可 以 设置 此 服务 器 是 接受 VPN 
连接 还 是 拨号 服务 ， 如 图 17-7 所 示 。 
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部 下 光 赂 和 Btaswe， 例如 育 制 解 调 器 ， 从 远程 
个 两 个 专用 网 络 之 间 的 安全 连接 @) 

将 此 网 络 连 接 到 一 个 运程 网 络 ,例如 一 个 分 支 办 公 室 。 
个 自 定义 配置 C) 

选择 在 路 由 和 远程 访问 中 的 任何 可 用 功能 的 组 合 。 


有 关 这 些 选 项 的 更 多 信息 ， 请 参阅 略 由 和 运程 访问 帮助 


sw [TED] = 
图 17-6 “配置 ” 对 话 框 图 17-7 “远程 访问 ”对 话 框 


(3) 单 击 “ 下 一 步 ”按钮 ， 打 开 “VPN 连接 ”对 话 框 ， 在 “网 络 接口 ”列表 框 中 ， 用 户 
可 以 选择 将 此 服务 器 连接 到 Intemet 的 网 络 接口 ， 如 图 17-8 所 示 。 
(4) 然后 单 击 “ 下 一 步 ”按钮 ， 打 开 “IP 地 址 指定 ”对 话 框 。 要 对 远程 客户 分 配 地 址 范 
围 , 可 选中 “来 自 一 个 指定 的 地 址 范围 ” 单 选 按 钮 。 在 这 里 选中 “自动 ” 单 选 按钮 , 使 用 DHCP 
服务 器 分 配 地 址 ， 如 图 17-9 所 示 。 
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选择 将 此 服务 器 连接 到 | Internet 的 网 络 摊 口 。 
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个 来自 一 个 指定 的 地 址 范围 于) 


本 地 址 
169.254 193. 185 
218. 247. 173. 119 


万 通过 设置 各 态 涩 据 包 第 选 器 来 对 选择 的 接口 进行 保护 EE)。 
静 才 数据 包 竺 选 器 只 允许 VPN 通讯 通过 选 定 的 接口 访问 此 服务 器 。 


有 关 了 网络 接口 的 更 多 信息 ， 请 参阅 际 由 和 渤 程 访问 帮助 、 


《上 一步 凶 取消 《< 上- 步 @ 取消 


17-8 “VPN 连接 ”对 话 框 图 17-9 “IP 地 址 指定 ”对 话 框 


(5) 单 击 “ 下 一 步 ” 按 钮 ， 向 导 打开 “管理 多 个 远程 访问 服务 器 ”对 话 框 ， 远 程 身份 验 
证 拨号 用 户 服务 (RADIUS) 服 务 器 可 以 为 多 个 远程 访问 服务 器 提供 集中 的 身份 验证 数据 库 , 并 
收集 远程 连接 的 记 帐 信息 。 要 使 用 RADIUS 服务 器 ， 可 在 “管理 多 个 远程 访问 服务 器 ”对 话 
框 中 选中 “是 ， 设 置 此 服务 器 与 RADIUS 服务 器 一 起 工作 ” 单 选 按钮 ， 如 图 17-10 所 示 。 

(6) 单 击 “ 下 一 步 ”按钮 ， 在 打开 的 “RADIUS 服务 器 选择 ”对 话 框 中 输入 主要 和 辅助 
的 RADIUS 服务 器 名 称 ， 并 输入 用 于 共享 连接 的 密码 ， 如 图 17-11 所 示 。 
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17-10 ”使 用 RADIUS 服务 器 图 17-11 “RADIUS 服务 器 选择 ”对 话 框 


(7) 单 击 “ 下 一 步 ” 按 钮 ， 在 打开 的 对 话 框 中 单 击 “ 完 成 ”按钮 ， 向 导 立 即 开始 安装 远 


程 访问 服务 器 。 


由 于 Windows Server 2003 集成 了 路 由 和 远程 访问 服务 , 当 用 户 通 过 “路 由 和 远程 
访问 服务 器 安装 向 导 ” 启 用 和 配置 了 其 中 的 一 种 服务 (如 路 由 服务 ) 后 ， 只 需要 在 控制 
台 窗 口中 的 服务 器 节点 上 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 
开 服 务 器 的 属性 对 话 框 ,然后 在 “常规 ”选项 卡 中 启用 还 需要 使 用 的 服务 器 (如 选中 “ 远 
程 访问 服务 器 ” 复 选 框 ) 即 可 。 


17.8.2 配置 VPN 服务 器 的 IP 地 址 范围 
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如 果 需 要 给 VPN 服务 器 配置 静态 卫 地 址 范围 , 那么 在 图 17-9 中 选择 “来 自 一 个 指定 的 
址 范围 ” 单 选 按钮 进行 配置 ， 或 者 在 配置 好 VPN 服务 器 后 ， 在 服务 器 上 单 击 鼠 标 右键 ， 


地 

在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 在 弹出 的 窗口 中 选择 “IP” 标 签 ， 在 “JP 地 址 指派 ” 
中 选择 “静态 地 址 池 ”。 然 后 单 击 “ 添 加 ”按钮 设置 卫 地 址 范围 ， 这 个 人 P 范围 就 是 VPN 局 
域 


网 内 部 的 虚拟 他 地 址 范围 ， 每 个 拨 入 到 VPN 的 服务 器 都 会 分 配 到 一 个 范围 内 的 耳 ， 在 虚 
局 域 网 中 用 这 个 他 相互 访问 。 如 图 17-12 所 示 。 
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17-12 配置 VPN 服务 器 的 IP 地 址 范围 
17.8.3 设置 VPN 访问 用 户 


在 远程 访问 服务 管理 中 ， 远 程 访问 客户 的 管理 是 经 常 要 进行 的 工作 ， 这 是 由 远程 访问 用 
户 的 不 确定 性 和 可 移动 性 决定 的 。 远 程 访问 用 户 管理 主要 包括 添加 远程 访问 用 户 、 删 除 远程 
访问 用 户 、 查 看 远程 访问 用 户 、 断 开 远程 访问 用 户 的 连接 和 向 远程 访问 用 户 发 送信 息 ， 下 面 
将 分 别 进行 介绍 。 

1. 用 户 帐 户 的 拨 入 属性 


在 Windows Server 2003 中 ， 独 立 或 基于 Active Directory 服务 器 的 用 户 帐户 包含 了 一 组 
拨 入 属性 ， 当 人 允许 或 拒绝 连接 尝试 时 将 使 用 这 些 属性 。 对 于 独立 服务 器 可 以 在 “本 地 用 户 ” 
和 “组 ”中 用 户 帐户 的 “ 拨 入 ”选项 卡 中 设置 拨 入 属性 。 对 基于 Active Directory 的 服务 器 ， 
可 以 在 当前 目录 用 户 和 计算 机 用 户 帐户 的 “ 拨 入 ”选项 卡 中 设置 拨 入 属性 。 对 于 基于 Active 
Directory 的 服务 器 ， 不 能 对 域 管理 工具 使 用 Windows 用 户 管理 程序 。 

打开 “Active Directory 用 户 和 计算 机 ”窗口 ， 创 建 一 个 新 的 用 户 帐户 ， 然 后 在 新 建 的 用 
户 帐 户 上 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 该 用 户 的 属性 对 话 框 ， 
并 选择 “ 拨 入 ”选项 卡 ， 如 图 17-13 所 示 。 
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用 户 帐户 的 拨 入 属性 如 下 。 

。 “远程 访问 权限 ( 拨 入 或 VPN)” 选 项 区 域 

可 以 在 该 选项 区 域 中 设置 是 否 明确 允许 、 拒 绝 或 通过 远程 访问 策略 决定 远程 访问 。 如 果 
访问 被 明确 地 人 允许， 远程 访问 策略 条 件 、 用 户 帐户 属性 或 配置 文件 属性 仍然 可 以 拒绝 连接 尝 
试 。“ 通 过 远程 访问 策略 控制 访问 ” 单 选 按 钮 只 在 Windows Server 2003 本 地 模式 域 中 的 用 
户 帐户 上 或 在 运行 独立 Windows Server 2003 远程 访问 服务 器 本 地 帐户 上 才 可 用 。 默 认 情况 
下 , 将 独立 远程 访问 服务 器 上 或 Windows Server 2003 本 地 模式 域 中 的 Administrator 和 Guest 
帐户 设置 为 “通过 远程 访问 策略 控制 访问 ”, 并 将 Windows Server 2003 混合 模式 域 设置 为 “ 拒 
绝 访问 ”。 将 独立 远程 访问 服务 器 或 Windows Server 2003 本 地 模式 域 中 新 创建 的 帐户 设置 为 

“通过 远程 访问 策略 控制 访问 ”。 将 Windows Server 2003 混合 模式 域 中 新 创建 的 帐户 设置 为 
“拒绝 访问 ”。 

e “验证 呼叫 方 ID” 选 项 

如 果 启 用 了 此 属性 ， 服 务 器 将 验证 呼叫 方 的 电话 号 码 。 如 果 呼 叫 方 的 电话 号 码 与 配置 的 
电话 号 码 不 匹配 ， 连 接 尝试 将 被 拒绝 。 呼 叫 方 、 呼 叫 方 和 远程 访问 服务 器 之 间 的 电话 系统 以 
及 远程 访问 服务 器 必须 支持 呼叫 方 了 D。 远程 访问 服务 器 上 的 呼叫 方 ID 由 支持 呼叫 方 ID 信息 
传递 的 呼叫 应 答 装 置 和 Windows Server 2003 中 适当 的 驱动 程序 组 成 , 此 驱动 程序 支持 呼叫 方 
ID 信息 到 路 由 和 远程 访问 服务 器 的 传递 。 如 果 配 置 用 户 的 呼叫 方 ID 电话 号 码 ， 并 且 不 支持 
呼叫 方 ID 信息 从 呼叫 方 到 路 由 和 远程 访问 服务 器 的 传递 ， 连 接 尝试 将 被 拒绝 。 

。 “ 回 拨 选 项 ”选项 区 域 

如 果 选 中 “由 呼叫 方 设置 ” 单 选 按钮 ， 则 在 连接 建立 过 程 中 服务 器 以 呼叫 方 设置 的 电话 


号 码 或 网 络 管理 员 设 置 的 特定 电话 号 码 回 拨 呼 叫 方 。 
。 “分 配 静态 PP 地 址 ”选项 


如 果 选 中 该 复 选 框 ， 在 连接 建立 时 可 以 向 用 户 分 配 特定 的 下 地址。 

。 “应 用 静态 路 由 ”选项 

如 果 选 中 该 复 选 框 ， 在 连接 建立 时 可 以 定义 添加 到 远程 访问 服务 器 路 由 表 上 的 一 系列 静 
态 卫 路 由 。 该 选项 是 为 用 户 帐户 设计 的 ，Windows Server 2003 路 由 器 对 请 求 拨号 的 路 由 使 
用 该 帐户 。 


2. 添加 VPN 访问 用 户 


当 有 新 的 远程 访问 用 户 需 要 访问 公司 的 局 域 网 络 时 ， 管 理 员 可 将 该 用 户 添加 到 用 户 组 
中 ， 并 赋予 其 远程 访问 权限 ， 则 该 用 户 就 可 以 进行 远程 访问 。 打 开 “Active Directory 用 户 和 
计算 机 ”窗口 ， 创 建 一 个 新 的 用 户 帐户 ， 然 后 在 新 建 的 用 户 帐 户 上 单 击 鼠标 右键 ， 在 弹出 的 
快捷 菜单 中 选择 “属性 ”命令 ， 打 开 该 用 户 的 属性 对 话 框 ， 并 打开 “ 拨 入 ”选项 卡 。 

在 “远程 访问 权限 ( 拨 入 或 VPN)” 选 项 区 域 中 ， 选 中 “允许 访问 ” 单 选 按钮 。 如 果 创 建 


了 远程 访问 策略 ， 则 “通过 远程 策略 控制 访问 ” 单 选 按钮 被 激活 ， 可 选中 该 单 选 按钮 并 设置 
呼叫 方 人 D 号 、 回 叫 选项 、 远 程 客户 机 的 静态 人 P 地 址 和 静态 路 由 。 设 置 好 之 后 ， 单 击 “ 确 定 ” 
按钮 即 可 使 该 用 户 成 为 远程 访问 用 户 。 

3. 删除 远程 访问 用 户 


对 于 不 再 需要 的 远程 访问 用 户 ， 管 理 员 可 将 其 删除 ， 以 防止 其 他 非法 用 户 以 该 用 户 的 身 
份 进行 远程 登录 。 要 删除 远程 访问 用 户 ， 打 开 “Active Directory 用 户 和 计算 机 ”窗口 ， 在 控 
制 台 目 录 树 中 ， 双 击 远 程 访问 服务 所 在 的 服务 器 展开 该 节点 。 然 后 单 击 Users 节点 ， 使 详细 
资料 窗口 中 列 出 用 户 和 组 。 接 着 在 详细 资料 窗口 中 ， 在 需要 删除 的 远程 访问 用 户 上 单 击 鼠 标 
右键 ， 在 弹出 的 快捷 菜单 中 选择 “删除 ”命令 即 可 。 

一 可 以 选择 用 户 帐 户 属性 对 话 框 中 的 

“ 拨 入 ”选项 卡 ， 从 中 选中 “拒绝 访问 ” 单 选 按钮 即 可 。 


4. 查看 远程 访问 客户 


如 果 管 理 员 需要 了 解 远程 访问 用 户 的 拨 入 情况 ， 可 以 在 “路 由 和 远程 访问 ”窗口 中 进行 
查看 , 查看 的 内 容 包 括 名 称 、 拨 入 持续 时 间 和 端口 数 等 。 要 查看 远程 访问 用 户 , 可 以 打开 “路 
由 和 远程 访问 ”窗口 ， 在 控制 台 目 录 树 中 展开 远程 访问 服务 器 ， 然 后 单 击 “ 远 程 访问 客户 端 ” 
子 节点 ， 使 详细 资料 窗 格 中 列 出 所 有 拨 入 的 远程 访问 用 户 的 名 称 、 持 续 时 间 和 端口 数 即 可 进 
行 查看 。 

5. 断 开 远程 访问 用 户 的 连接 


当 因 为 某 种 原因 不 再 允许 某 个 远程 访问 用 户 继续 访问 服务 器 或 整个 网 络 时 ， 可 断 开 该 用 
户 与 服务 器 之 间 的 连接 。 断 开 之 后 ， 如 果 该 用 户 仍 需要 远程 访问 ， 可 再 进行 登录 。 要 断 开 远 
程 访问 用 户 的 连接 ， 需 打开 “路 由 和 远程 访问 ”窗口 ， 在 控制 台 目 录 树 中 展开 远程 访问 服务 
器 ， 单 击 “ 拨 入 客户 端 ” 子 节点 ， 使 详细 资料 窗 格 中 列 出 所 有 拨 入 的 远程 访问 用 户 ， 然 后 在 
需要 断 开 的 远程 访问 用 户 上 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “ 断 开 ”命令 ， 即 可 断 
开 与 该 用 户 的 远程 连接 。 

6. 给 远程 用 户 发 送信 息 


Windows Server 2003 的 远程 访问 服务 允许 管理 员 通 过 服务 器 向 某 个 远程 访问 用 户 发 送 
信息 ， 帮 助 远 程 访问 用 户 及 时 了 解 公 司 的 情况 。 要 给 远程 访问 用 户 发 送信 息 ， 打 开 “ 路 由 和 
远程 访问 ”窗口 ， 在 控制 台 目 录 树 中 展开 远程 访问 服务 器 ， 并 单 击 “ 拨 入 客户 端 ” 子 节点 ， 
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使 详细 资料 窗 格 中 列 出 所 有 拨 入 的 远程 访问 用 户 ， 然 后 在 要 发 送信 息 的 远程 访问 用 户 上 单 
鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “发 送信 息 ” 命 令 ， 打 开 “ 发 送信 息 ” 对 话 框 。 在 “发 
送信 息 ”对 话 框 中 的 文本 框 中 输入 要 发 送 的 信息 ， 最 后 单 击 “ 确 定 ”按钮 ， 即 可 将 信息 发 送 
给 远程 访问 用 户 。 

上 面 所 介绍 的 方法 是 给 单个 远程 访问 用 户 发 送信 息 的 方法 。 要 发 送信 息 给 所 有 远程 用 
户 ， 可 在 “路 由 和 远程 访问 ”窗口 的 控制 台 目 录 树 中 ， 在 “ 拨 入 客户 端 ” 子 节点 上 单 击 鼠 标 
右键 ， 在 弹出 的 快捷 菜单 中 选择 “发 送 给 所 有 人 ”命令 ,打开 “发 送信 息 ” 对 话 框 。 在 “发 
送信 息 ”对 话 框 中 的 文本 框 中 输入 要 发 送 的 信息 ， 最 后 单 击 “ 确 定 ”按钮 ， 即 可 将 信息 发 送 
给 所 有 的 远程 访问 用 户 。 


ET 


17.8.4 配置 VPN 服务 器 端口 


运行 Windows Server 2003 的 远程 访问 服务 器 将 安装 的 网 络 设备 看 成 一 系列 的 设备 和 端 
口 。 其 中 ， 设 备 代表 可 以 创建 物理 或 逻辑 的 点 对 点 连接 的 硬件 或 软件 ， 端 口 是 通 信 信 道 ， 它 
可 以 支持 单个 的 点 对 点 连接 。 

在 默认 的 情况 下 ，Windows Server 2003 远程 访问 服务 使 用 两 种 WAN 微型 端口 设备 ， 一 
种 是 PPTP 类 型 ， 一 种 是 L2TP 类 型 。 管 理 员 可 分 别 对 这 两 个 端口 设备 进行 配置 ， 以 供 远程 
访问 服务 使 用 。 另外, 管理 员 也 可 以 安装 其 他 端口 设备 并 进行 配置 用 以 提供 远程 访问 服务 。 

配置 远程 服务 端口 的 操作 步骤 如 下 。 

(1) 打开 “路 由 和 远程 访问 ”控制 台 窗口 ， 在 控制 台 目录 树 中 展开 要 配置 端口 的 服务 器 
节点 ， 然 后 在 “端口 ” 子 节点 上 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 
开 “ 端 口 属性 ”对 话 框 ， 如 图 17-14 所 示 。 

(2) “路 由 和 远程 访问 (RRAS) 使 用 下 列 设备 ”列表 框 列 出 了 路 由 和 远程 访问 服务 可 使 用 
的 端口 设备 ， 选 择 需 要 配置 的 远程 访问 服务 端口 设备 ， 然 后 单 击 “ 配 置 ”按钮 ， 打 开 “ 配 置 
设备 ”对 话 框 ， 如 图 17-15 所 示 。 
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(3) 要 使 所 选择 的 设备 接受 远程 访问 请 求 ， 可 选中 “远程 访问 连接 ( 仅 入 站 )” 复 选 框 。 要 
为 该 端口 设备 设置 电话 号 码 ， 可 在 “此 设备 的 电话 号 码 ” 文 本 框 中 输入 端口 的 电话 号 码 。 在 
端口 上 设置 电话 号 码 可 以 提供 对 多 链 路 和 带宽 分 配 协议 (BAP) 的 支持 。 当 使 用 “ 仅 限制 拨 入 
到 此 号 码 ” 这 一 远程 访问 策略 配置 文件 的 拨 入 限制 ， 且 电话 线 和 已 安装 的 电话 设备 不 支持 
“呼叫 的 线路 标识 (CLID)” 时 ， 系 统 也 会 在 端口 上 设置 电话 号 码 。 通 过 调整 “最 多 端口 数 ” 
微调 器 的 值 来 限制 支持 动态 端口 的 设备 的 端口 数 。 

(4) 单 击 “确定 ”按钮 ， 返 回 到 “端口 属性 ”对 话 框 ， 然 后 对 其 他 端口 进行 设置 ， 设 置 
完毕 后 ， 单 击 “ 确 定 ”按钮 即 可 完成 配置 。 


17.8.5 ”停止 和 启动 VPN 服务 器 


根据 公司 或 网 络 的 使 用 情况 , 经 常 需要 停止 远程 访问 服务 器 的 远程 访问 服务 功能 , 例如 ， 
当 公司 所 有 的 外 出 人 员 都 回 到 公司 时 ， 可 将 公司 网 络 的 远程 访问 服务 停止 ， 防 止 可 能 的 非法 
远程 访问 登录 ; 又 如 ,远程 访问 服务 器 需要 修改 内 容 或 出 现 错误 时 ,也 将 停止 远程 访问 服务 ， 
以 便 修改 内 容 和 处 理 问题 。 

要 停止 远程 访问 服务 ， 可 打开 “路 由 和 远程 访问 ”控制 台 窗 口 ， 在 控制 台 目 录 树 中 单 击 
“服务 器 状态 ”节点 ， 使 详细 资料 窗 格 中 列 出 已 安装 的 远程 服务 器 。 然 后 在 要 停止 的 远程 访 
问 服务 器 上 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “所 有 任务 ”|“ 停 止 ”命令 ， 系 统 开 始 
尝试 停止 远程 访问 服务 ， 同 时 打开 “服务 控件 ”信息 提示 框 。 远 程 服务 被 停止 后 ， 该 服务 器 
的 “状态 ” 栏 由 “已 启动 ” 变 为 “已 停止 ”字样 。 

远程 访问 服务 被 停止 (或 暂停 ) 之 后 ， 当 需要 时 可 再 将 其 启动 ， 不 需要 重新 配置 。 要 启动 
远程 访问 服务 ， 在 “路 由 和 远程 访问 ”控制 台 窗口 中 ， 单 击 控制 台 目录 树 中 的 “服务 器 状态 ” 
节点 ， 然 后 在 需要 启动 的 远程 访问 服务 器 上 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “所 有 
任务 ”|“ 开 始 ”命令 ， 系 统 就 开始 对 远程 访问 服务 进行 初始 化 ， 并 打开 一 个 “服务 控件 ” 信 
息 提示 框 。 完 成 初始 化 后 ， 该 服务 器 的 “状态 ” 栏 由 “已 停止 ” 变 为 “已 启动 ”。 


管理 员 通 过 服务 器 快捷 菜单 中 的 “所 有 任务 ” 子 菜单 不 但 可 以 停止 和 启动 服务 器 ， 
而 且 还 可 以 暂停 、 还 原 和 重新 启动 路 由 和 远程 访问 服务 器 。 


17.8.6 ”禁用 和 删除 VPN 服务 器 


当 远 程 访问 服务 器 不 再 需要 现 有 的 路 由 和 远程 访问 服务 配置 ， 可 禁用 该 远程 访问 服务 。 
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远程 访问 服务 被 禁用 之 后 ， 服 务 器 不 会 被 删除 ， 但 是 ， 当 要 启用 该 服务 器 进行 远程 访问 服务 
时 ， 则 需要 重新 配置 路 由 和 远程 访问 服务 。 

要 禁用 路 由 和 远程 访问 服务 ， 先 打开 “路 由 和 远程 访问 ”窗口 ， 在 控制 台 目 录 树 中 单 和 
“服务 器 状态 ”节点 ， 使 详细 资料 窗 格 中 列 出 已 安装 的 路 由 和 远程 服务 器 ， 然 后 在 需要 禁用 
的 路 由 和 远程 访问 服务 器 上 单 击 鼠 标 右键 , 在 弹出 的 快捷 菜单 中 选择 “禁用 路 由 和 远程 访问 ” 
命令 ， 系 统 将 会 打开 “路 由 和 远程 访问 管理 ”对 话 框 ， 提 示 用 户 : 禁用 服务 器 将 删除 它 的 设 
置 ， 单 击 “ 是 ”按钮 即 可 禁用 路 由 和 远程 访问 服务 。 

删除 路 由 和 远程 访问 服务 实际 上 是 删除 路 由 和 远程 访问 服务 器 。 服 务 器 被 删除 之 后 ， 相 
应 的 服务 就 会 被 删除 ， 但 在 下 一 次 添加 该 服务 器 时 ， 不 再 需要 路 由 和 远程 访问 服务 配置 ， 服 
务 器 会 自动 继承 以 前 的 配置 。 

要 删除 路 由 和 远程 访问 服务 ， 先 打开 “路 由 和 远程 访问 ”窗口 ， 在 控制 台 目录 树 中 单 击 
“服务 器 状态 ”节点 ， 使 详细 资料 窗 格 中 列 出 已 安装 的 路 由 和 远程 服务 器 ， 然 后 在 需要 删除 
的 路 由 和 远程 访问 服务 器 上 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “删除 ”命令 ， 系 统 就 
会 删除 路 由 和 远程 访问 服务 器 。 

Us Windows Server 2003 集成 了 路 由 和 远程 访问 服务 , 对 服务 器 的 任何 操作 都 同 

时 作用 路 由 服务 器 和 远程 访问 服务 器 ， 因 此 在 对 服务 器 执行 停止 、 启 动 、 删 除 和 禁用 

等 操作 时 ， 一 定 要 同时 考虑 到 路 由 和 远程 访问 两 个 方面 。 


ET 


17.9 ”VPN 客户 端 配置 


配置 好 VPN 服务 器 后 ， 需 要 在 客户 端 配 置 后 方 可 远程 访问 VPN 服务 器 ， 本 例 使 用 
Windows Server 2003 系统 为 例 进行 说 明 。 


17.9.1 客户 端 基本 配置 


使 用 鼠标 右键 单 击 “ 网 上 邻居 ”图 标 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”项 ， 打 开 “ 网 
络 和 拨号 连接 ”对 话 框 ， 然 后 双击 “新 建 连接 ”图 标 ， 打 开 “ 网 络 连 接 向 导 ” 对 话 框 ， 如 图 
17-16 所 示 。 
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图 17-16 “网 络 连接 向 导 ”对 话 框图 17-17 “网 络 连接 类 型 ”对 话 框 


单 击 “ 下 一 步 ”按钮 ， 打 开 “ 网 络 连接 类 型 ”对 话 框 ， 如 图 17-17 所 示 。 

在 该 对 话 框 中 ， 选 择 “ 通 过 Intemet 连接 到 专用 网 络 ” 选 项 ， 单 击 “ 下 一 步 ”按钮 ， 打 
开 “ 目 标 地 址 ”对 话 框 ， 如 图 17-18 所 示 。 

在 该 对 话 框 中 ， 需 要 输入 VPN 服务 器 的 他 地 址 (如 192.168.1.2)， 单 击 “ 下 一 步 ” 按 钮 ， 
打开 “可 用 连接 ”对 话 框 ， 如 图 17-19 所 示 。 


< 可 用 连接 cA 
) 悠 可 以 此 许 所 有 用 户 使 用 类 连接， 求 只 是 自己 使 用 。 oo 


目标 地 址 
目标 的 名 称 或 地 址 是 什么 ? 


Ed 或 只 是 您 自己 用 存在 您 的 刀 置 文件 中 的 演 接 


输入 穴 正 连 党 的 计算 机 或 网络 的 主机 名 IP 地 址 。 
主机 名 或 I? 地 址 WW0 nierosofr, com 或 123 45.6.78) 0 
haa 1881.2 


《上 一 步 四 [下 - 步 中 )] 。 取 滑 《上 - 步 名 [下 = 步 加 站 取消 


图 17-18 “目标 地 址 ”对 话 框 图 17-19 “可 用 连接 ”对 话 框 


在 该 对 话 框 中 ， 选 择 “ 所 有 用 户 使 用 此 连接 ”选项 (当然 为 了 安全 起 见 也 可 选择 “只 是 我 
自己 使 用 此 连接 选项 ”)， 单 击 “ 下 一 步 ” 按 钮 ， 在 打开 的 窗口 中 按照 系统 默认 的 即 可 ， 然 后 
再 单 击 “ 下 一 步 ” 按 钮 打开“ 完成 网 络 连接 向 导 ” 对 话 框 ， 如 图 17-20 所 示 。 

在 该 对 话 框 中 ,键入 一 个 连接 使 用 的 名 称 ， 如 “VPN 专线 ”， 单 击 “ 完 成 ”按钮 ， 完 成 
VPN 客户 端的 基本 配置 。 这 时 ， 在 “网 络 和 拨号 连接 ”对 话 框 中 ， 将 出 现 “VPN 专线 ” 
标 。 如 图 17-21 所 示 。 


Ee ， 订 档 
其 法 定 ， 烘 后 单 击 “文件” 策 音 下 的 “他 性 ”。 


图 17-20 “完成 网 络 连接 向 导 ” 对 话 框图 17-21 出现“VPN 专线 ”图 标 


17.9.2 访问 VPN 服务 器 


在 “网 络 和 拨号 连接 ”对 话 框 中 ， 双 击 “VPN 专线 ”图 标 ， 系 统 将 打开 “连接 VPN 专 
线 ” 对 话 框 ， 如 图 17-22 所 示 。 


用 户 名 QD Adninistrator | 
ED: 
厂 保存 密码 @) 


取消 |。 属性 0) | 。 帮助 由 
图 17-22 “连接 VPN 专线 ”对 话 框 


在 “连接 VPN 专线 ”对 话 框 中 ， 输 入 用 户 名 和 密码 ， 单 击 “ 连 接 ” 按钮 ， 即 可 进行 VPN 
专线 连接 。 连 接 成 功 ， 那 么 客户 端 就 可 以 像 在 内 部 网 络 里 一 样 直接 访问 各 种 网 络 资源 了 。 
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NAT 与 软 路 由 话 的 
配置 和 管理 


“路 由 和 远程 网 络 服务 ”(RRAS) 是 一 个 独立 集成 的 服务 ， 该 服 
务 为 拨号 网 络 或 VPN 客户 结束 连接 ,或 者 提供 路 由 (IP. IPX. Appletalk) 
服务 , 或 者 同时 提供 两 者 。 它 为 Windows Server 2003 提供 了 作为 远 
程 访问 服务 器 、VPN 服务 器 或 分 支 路 由 器 所 必需 的 功能 。 还 可 以 提供 
地 址 转换 功能 。 
作为 路 由 器 ，RRAS 支持 本 地 (局 域 网 -局 域 网 ) 路 由 和 远程 (拨号 请 
求 ) 路 由 。 可 以 在 Windows Server 2003 支持 的 任何 媒体 上 建立 拨号 
请 求 连接 ， 包 括 VPN 在 Internet 上 的 连接 。RRAS 路 由 支持 IP 网 的 
OSPF 和 RIP2 路 由 控制 协议 ， 也 支持 IPX 网 的 RIP 和 SAP。 


(So 本 章 知 识 吉 zz 
路 由 服务 的 概述 

路 由 器 工作 原理 

添加 和 配置 路 由 服务 器 

配置 NAT 

配置 OSPF 路 由 
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加 双生 天天 天 
18.1 路 由 器 概述 


路 由 器 在 互联 网 中 扮演 着 十 分 重要 的 角色 ， 它 是 互联 网 的 枢纽 。 它 是 架构 在 不 同 的 网 络 
之 间 ， 用 于 实现 数据 传输 时 的 路 径 选 择 的 一 种 设备 ， 也 就 是 用 来 实现 路 由 选择 功能 的 一 种 媒 
介 系 统 设备 。 所 谓 路 由 就 是 指 通 过 相互 连接 的 网 络 把 信息 从 源 地 点 移动 到 目标 地 点 的 活动 。 

路 由 器 的 主要 工作 就 是 为 经 过 路 由 器 的 每 个 数据 帧 寻找 一 条 最 佳 传输 路 径 ， 并 将 该 数据 
有 效 地 传送 到 目的 站 点 。 由 此 可 见 ， 选 择 最 佳 路 径 的 策略 即 路 由 算法 是 路 由 器 的 关键 所 在 。 
为 了 完成 这 项 工作 ， 在 路 由 器 中 保存 着 各 种 传输 路 径 的 相关 数据 一 一 路 由 表 (Routing Table)， 
供 路 由 选择 时 使 用 。 路 由 表 中 保存 着 子 网 的 标志 信息 、 网 上 路 由 器 的 个 数 和 下 一 个 路 由 器 的 
名 称 等 内 容 。 路 由 表 可 以 是 由 系统 管理 员 固 定 设置 好 的 ， 也 可 以 由 系统 动态 修改 ， 可 以 由 路 
由 器 自动 调整 ， 也 可 以 由 主机 来 控制 。 


18.2 ”路 由 选择 原理 


这 里 通过 一 个 例子 来 具体 说 明 路 由 选择 的 工作 原理 。 
工作 站 A 需要 向 工作 站 B 传送 信息 (并 假定 工作 站 B 的 卫 地 址 为 192.168.1.100)， 它 们 
之 间 需 要 通过 多 个 路 由 器 的 连续 传递 ， 路 由 器 的 分 布 如 图 18-1 所 示 。 


图 18-1 路 由 器 的 分 布 


其 工作 原理 如 下 。 

(1) 工作 站 A 将 工作 站 B 的 地 址 192.168.1.100 连同 数据 信息 以 数据 帧 的 形式 发 送 给 路 由 
器 1。 

(2) 路 由 器 1 收 到 工作 站 A 的 数据 帧 后 ， 先 从 报头 中 取出 地 址 192.168.1.100， 并 根据 路 
由 表 计 算出 发 往 工作 站 B 的 最 佳 路径 : RI->R2->R3->B， 然 后 将 数据 帧 发 往 路 由 器 2。 
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(3) 路 由 器 2 重复 路 由 器 1 的 工作 ， 并 将 数据 帧 转发 给 路 由 器 3。 

(4) 路 由 器 3 同样 取出 目的 地 址 ， 发 现 192.168.1.100 就 在 该 路 由 器 所 连接 的 网 段 上 ， 于 
是 将 该 数据 帧 直接 交 给 工作 站 B。 

(5) 工作 站 B 收 到 工作 站 A 的 数据 帧 ， 一 次 通信 过 程 宣告 结束 。 
事实 上 ， 路 由 器 除了 上 述 的 路 由 选择 这 一 主要 功能 外 ， 还 具有 网 络 流量 控制 的 功能 。 有 
的 路 由 器 仅 支持 单一 协议 ， 而 大 部 分 路 由 器 都 可 以 支持 多 种 协议 的 传输 ， 即 多 协议 路 由 器 。 
由 于 每 一 种 协议 都 有 自己 的 规则 ， 要 在 一 个 路 由 器 中 完成 多 种 协议 的 算法 ， 势 必 会 降低 路 由 
器 的 性 能 ， 因 此 支持 多 协议 的 路 由 器 性 能 相对 较 低 。 用 户 购买 路 由 器 时 ， 应 根据 自己 的 实际 
情况 ， 选 择 自己 需要 的 网 络 协议 路 由 器 。 

近年 出 现 了 交换 路 由 器 产品 , 从 本 质 上 来 说 它 不 是 什么 新 技术 , 而 是 为 了 提高 通信 能 力 ， 
把 交换 机 的 原理 组 合 到 路 由 器 中 ， 使 数据 传输 能 力 更 快 更 好 。 


18.3 Windows Server 2003 路 由 功能 


Windows Server 2003 的 “路 由 和 远程 访问 ”服务 其 实 是 一 个 全 功能 的 软件 路 由 器 ， 包括 
一 个 开放 式 路 由 和 互联 网 络 平 台 。 它 为 局 域 网 LAN) 和 广域网 WAN) 环 境 中 的 商务 活动 ， 或 
使 用 安全 虚拟 专用 网 络 (VPN) 连 接 的 Intemet 上 的 商务 活动 提供 路 由 选择 服务 。“ 路 由 和 远 
程 访问 ”服务 合并 且 集 成 了 Windows Server 2003 中 独立 的 “路 由 和 远程 访问 ”服务 ， 是 
Windows Server 2003“ 路 由 和 远程 访问 ”服务 (也 称 为 RRAS) 的 增强 版 本 。 

“路 由 和 远程 访问 ”服务 的 优点 之 一 就 是 它 与 Windows Server 2003 操作 系统 的 集成 。 
“路 由 和 远程 访问 ”服务 通过 多 种 硬件 平台 和 网 卡 ， 提 供 了 很 多 经 济 功能 。“ 路 由 和 远程 访 
问 ” 服 务 可 以 通过 应 用 程序 编程 接口 (APD 进 行 扩展 , 开发 人 员 可 以 使 用 API 创建 客户 网 络 连 
接 方案 ， 新 供应 商 可 以 使 用 API 参与 到 不 断 增 长 的 开放 互联 网 络 商务 中 。 
此 后 ， 运 行 Windows Server 2003 及 提供 LAN 和 WAN 路 由 服务 的 “路 由 和 远程 访问 ” 
服务 的 计算 机 ， 指 的 是 Windows Server 2003 路 由 器 。 

Windows Server 2003 路 由 器 是 专门 为 已 经 熟悉 路 由 协议 和 路 由 选择 服务 的 系统 管理 员 
而 设计 的 。 通 过 “路 由 和 远程 访问 ”服务 ， 管 理 员 可 以 查看 和 管理 本 地 网 络 中 的 路 由 器 和 远 
程 访问 服务 器 。 

Windows Server 2003 路 由 器 包括 下 列 功能 。 

ee ”网际 协议 (IP). 网 际 包 交 换 (IPX) 和 AppleTalk 的 多 协议 单 播 路 由 。 

e 工业 标准 单 播 瑟 路 由 协议 : 开放 式 最 短路 径 优先 (OSPF) 和 路 由 信息 协议 (RIP) 版 本 1 

和 2。 
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e 工业 标准 IPX 路 由 协议 : IPX 路 由 信息 协议 (RIP) 和 IPX 服务 广告 协议 (SAP)。 

e 启用 卫 多 播 通信 转发 的 卫 多 播 服 务 (“Intemet 组 管理 协议 IGMP)” 路 由 器 模式 和 
IGMP 代理 模式 )。 

e 了 网 络 地 址 转换 (NAT) 服 务 ， 该 服务 可 以 简化 家 庭 网 络 和 小 型 办 公 或 家 庭 办 公 
(SOHO) 网 络 与 Intemet 的 连接 。 

。 通过 拨号 WAN 链接 的 请 求 拨号 路 由 选择 。 

e 虚拟 专用 网 络 (VPN) 支 持 基于 网 际 协议 安全 (PSec) 的 点 对 点 隧道 协议 PPTP) 和 第 二 
层 隧道 协议 (L2TP)。 

e 对 人 ?动态 主机 配置 协议 (DHCP) 中 继 代 理 的 工业 标准 支持 。 

e 使 用 “Intemet 控制 消息 协议 ICMP)” 路 由 器 发 现 的 路 由 器 发 布 的 工业 标准 支持 。 

e 使 用 他 中 的 下 隧道 的 隧道 支持 。 

e 支持 通用 “管理 信息 基础 (MIB)” 的 “简单 网 络 管理 协议 (SNMP)” 管 理 功能 。 

e 支持 多 种 媒体 ， 包 括 以 太 网 、 令 牌 环 、 光 纤 分 布 式 数据 接口 (FDDI)、 异 步 传输 模式 
(ATM)、 集 成 服务 数字 网 络 ISDN)、T 载波 、 帧 中 继 、xDSL、 电 缆 调制 解 调 器 . X.25 
和 模拟 调制 解 调 器 。 

e@ 在 Windows Server 2003 路 由 器 平台 上 可 以 启用 增值 开发 的 路 由 协议 、 管 理 和 用 户 界 

API。 
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18.4 ” 单 播 路 由 


单 播 路 由 是 通过 路 由 器 将 到 网 际 网 络 上 某 一 位 置 的 通信 从 源 主机 转发 到 目标 主机 。 网 际 
网 络 至 少 有 两 个 通过 路 由 器 连接 的 网 络 。 路 由 器 是 网 络 层 中 介 系 统 ， 它 基于 公用 网 络 层 协议 
(如 TCP/IP 或 PX) 将 网 络 连 接 在 一 起 。 网 络 通过 路 由 器 连接 ， 是 与 称 为 网 络 地 址 或 网 络 ID 
的 同一 网 络 层 地 址 相关 联 的 联网 基础 结构 (包括 中 继 器 . 集线器 和 2 层 交换 机 ) 的 一 部 分 。 

典型 的 路 由 器 是 通过 LAN 或 WAN 媒体 连接 到 两 个 或 多 个 网 络 。 网 络 上 的 计算 机 通过 
将 数据 包 转 发 到 路 由 器 ， 实 现 将 数据 包 发 送 到 其 他 网 络 的 计算 机 上 。 路 由 器 将 检查 数据 包 ， 
并 使 用 数据 包 报 头 内 的 目标 网 络 地 址 来 决定 转发 数据 包 所 使 用 的 接口 。 通 过 路 由 协议 (OSPF、 
RIP 等 )， 路 由 器 可 以 从 相 邻 的 路 由 器 获得 网 络 信息 (如 网 络 地 址 )， 然 后 将 该 信息 传播 给 其 他 
网 络 上 的 路 由 器 ， 从 而 使 所 有 网 络 上 的 所 有 计算 机 互相 连接 起 来 。 

Windows Server 2003 路 由 器 可 以 路 由 于 、IPX 和 AppleTalk 通信 。 另外 , Windows Server 
2003 路 由 器 还 支持 “路 由 表 维 护 协议 (RTMP)”。 


18.4.1 路 由 表 


路 由 表 是 一 系列 称 为 路 由 的 项 ， 其 中 包含 了 有 关 网 际 网 络 的 ID 位 置信 息 。 路 由 表 不 是 
对 路 由 器 专用 的 。 主 机 ( 非 路 由 器 ) 也 有 可 能 用 来 决定 优化 路 由 的 路 由 表 。 

路 由 表 中 的 每 一 项 都 被 看 作 是 一 个 路 由 ， 并 且 可 以 属于 下 面 的 任意 类 型 。 

e 网 络 路 由 : 网 络 路 由 提供 到 网 际 网 络 中 特定 网 络 ID 的 路 由 。 

。 主 路 由 : 主 路 由 提供 到 网 际 网 络 地 址 (网 络 D 和 节点 ID) 的 路 由 ， 通 常用 于 将 自 定义 
路 由 创建 到 特定 主机 ， 以 控制 或 优化 网 络 通信 。 

。 默认 路 由 :如果 在 路 由 表 中 没有 找到 其 他 路 由 ， 则 使 用 默认 路 由 。 例 如 ， 路 由 器 或 
主机 如 果 不 能 找到 目标 的 网 络 路 由 或 主 路 由 ， 则 使 用 默认 路 由 。 默 认 路 由 简化 了 主 
机 的 配置 。 使 用 单个 默认 的 路 由 来 转发 带 有 在 路 由 表 中 未 找到 的 目标 网 络 或 网 际 网 
络 地 址 的 所 有 数据 包 ， 而 不 是 为 网 际 网 络 中 所 有 的 网 络 ID 配置 带 有 路 由 的 主机 。 

路 由 表 中 的 每 项 都 由 以 下 信息 字段 组 成 。 

e 网 络 ID: 主 路 由 的 网 络 ID 或 网 际 网 络 地 址 。 在 他 路 由 器 上 ， 有 从 目标 他 地 址 决定 
了 P 网 络 了 D 的 其 他 子 网 掩 码 字段 。 

e 转发 地 址 : 数据 包 转发 的 地 址 。 转 发 地 址 是 硬件 地 址 或 网 际 网 络 地 址 。 对 于 主机 或 
路 由 器 直接 连接 的 网 络 ， 转 发 地 址 字段 可 能 是 连接 到 网 络 的 接口 地 址 。 

。 接口 : 当 将 数据 包 转发 到 网 络 ID 时 所 使 用 的 网 络 接口 。 这 是 一 个 端口 号 或 其 他 类 型 
的 逻辑 标识 符 。 

。 跃 点 数 ， 路 由 首选 项 的 度量 。 通 常 ， 最 小 的 跃 点 数 是 首选 路 由 。 如 果 多 个 路 由 存在 
于 指定 的 目标 网 络 ， 则 使 用 跃 点 数 最 低 的 路 由 。 即 使 存在 多 个 路 由 ， 某 些 路 由 选择 
算法 也 只 将 到 所 有 网 络 ID 的 单个 路 由 存储 在 路 由 表 中 。 在 这 种 情况 下 ， 路 由 器 使 用 
跃 点 数 来 决定 存储 在 路 由 表 中 的 路 由 。 


18.4.2 ”路 由 配置 


用 户 可 以 在 许多 不 同 的 拓扑 和 网 络 配置 中 使 用 路 由 器 。 将 Windows Server 2003 路 由 器 添 
加 到 网 络 时 , 必须 选择 路 由 器 路 由 的 协议 (IP、IPX 或 AppleTalk), 以 及 LAN 或 WAN 媒体 (网 
卡 、 调 制 解 调 器 或 其 他 拨号 设备 )。 


18.4.3 ”IP 路 由 协议 


动态 他 路 由 环境 使 用 中 路 由 协议 传播 他 路 由 信息 。 在 Intranet 上 ， 最 常用 的 两 个 人 P 路 
由 协议 是 “路 由 信息 协议 (RIP)” 和 “开放 式 最 短路 径 优先 (OSPF)”。 可 以 在 相同 的 Intranet 
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土 运行 多 个 路 由 协议 。 在 这 种 情况 下 ， 必 须 通 过 配置 首选 等 级 配置 协议 获知 路 由 的 首选 来 源 
的 路 由 协议 。 首 选 路 由 协议 是 添加 到 路 由 表 的 路 由 源 ， 而 不 管 获知 路 由 的 跃 点 数 如 何 。 例 如 ， 
RIP 获知 路 由 的 跃 点 数 是 S， 而 OSPF 获知 路 由 的 跃 点 数 是 3， 并 且 OSPF 是 首选 路 由 协议 ， 
那么 ，OSPF 路 由 将 添加 到 人 P 路 由 表 并 且 和 忽略 RIP。 


a 


如 果 当 前 使 用 多 个 思路 由 协议 , 则 只 需 配置 每 个 接口 的 单个 路 由 协议 。 
1.RIP 


“路 由 选择 信息 协议 (RIP)” 设 计 用 于 在 小 型 到 中 型 网 际 网 络 中 交换 路 由 选择 信息 。RIP 
的 最 大 优点 是 其 配置 和 部 署 都 非常 简单 。RIP 的 最 大 缺点 是 不 能 将 网 络 扩大 到 大 或 特大 型 网 
际 网 络 。RIP 路 由 器 使 用 的 最 大 跃 点 数 是 15 个 。 当 网 际 网 络 变 得 更 大 时 ， 每 个 RIP 路 由 器 的 
周期 宣告 可 能 导致 通信 过 度 负 载 。RIP 的 另 一 个 缺点 是 需要 较 长 的 恢复 时 间 。 当 网 际 网 络 拓 
扑 更 改 时 ， 在 RIP 路 由 器 重新 将 自己 配置 到 新 的 网 际 网 络 拓扑 之 前 ， 可 能 要 花费 几 分 钟 的 时 
间 。 网 际 网 络 重新 配置 自己 时 ， 路 由 循环 可 能 出 现 丢失 或 无 法 传递 数据 的 结果 。 

最 初 , 每 个 路 由 器 的 路 由 选择 表 只 包含 物理 连接 的 网 络 。RIP 路 由 器 周期 性 地 发 送 宣 告 ， 
在 宣告 中 包含 其 路 由 表 项 ， 以 便 通知 它 可 以 到 达 的 网 络 的 其 他 本 地 RIP 路 由 器 。RIP 版 本 1 
对 宣告 使 用 四 广播 数据 包 ，RIP 版 本 2 对 宣告 使 用 多 播 或 广播 数据 包 。 

RIP 路 由 器 还 可 以 通过 触发 更 新 对 路 由 信息 进行 通信 。 当 更 改 网 络 拓扑 及 发 送 更 新 的 路 
由 选择 信息 时 ， 便 会 触发 更 新 发 生 以 反映 那些 更 改 。 使 用 触发 更 新 ， 将 立即 发 送 更 新 ， 而 不 
是 等 待 下 一 个 周期 的 宣告 。 例 如 ， 路 由 器 检测 到 链接 或 路 由 器 失败 时 ， 它 将 更 新 自己 的 路 由 
选择 表 并 发 送 更 新 的 路 由 ， 每 个 接收 到 触发 更 新 的 路 由 器 将 修改 自己 的 路 由 选择 表 并 传播 
更 改 。 

Windows Server 2003 路 由 器 支持 RIP 版 本 1 和 2。RIP 版 本 2 支持 多 播 宣告 和 简单 密码 
身份 验证 ， 它 可 以 在 子 网 和 “无 级 交互 域 路 由 选择 (CIDR)” 环 境 中 提供 更 多 的 灵活 性 。RIP 
的 Windows Server 2003 路 由 器 可 执行 如 下 功能 。 

e 为 传 入 和 传 出 数据 包 选 择 在 每 个 接口 上 运行 的 RIP 版 本 。 

e@ 使 用 水 平 拆 分 、poison-reverse 及 用 来 避免 路 由 循环 的 触发 更 新 算法 来 更 改 网 络 恢 

复 速度 。 

e 选择 要 宣告 或 接受 哪个 网 络 的 路 由 筛选 器 。 

e 选择 接受 的 路 由 器 宣告 的 对 等 筛选 器 。 

e 可 配置 的 宣告 和 路 由 寿命 计时 器 。 


e 简单 密码 验证 支持 。 
e 禁用 子 网 总 计 功 能 。 
2. OSPF 


“开放 式 最 短路 径 优 先 (OSPF)” 设 计 用 于 在 大 型 或 特大 型 网 际 网 络 中 交换 路 由 选择 信 
息 。OSPF 的 最 大 优点 是 高 效率 ， 它 只 要 求 很 小 的 网 络 开 销 ， 即 使 在 非常 大 的 网 际 网 络 中 。 
OSPF 的 最 大 缺点 是 它 的 复杂 性 ， 它 需要 正确 的 计划 且 难 于 配置 和 管理 。 

OSPF 使 用 “最 短路 径 优先 (SPF)” 算 法 来 计算 路 由 选择 表 中 的 路 由 。SPF 算法 计算 路 由 
器 和 所 有 网 际 网 络 的 网 络 之 间 的 最 短路 径 (最 低 成 本 )。SPF 计算 的 路 由 通常 是 自由 循环 的 。 

不 像 RIP 路 由 器 一 样 交换 路 由 表 项 ，OSPF 路 由 器 维护 网 际 网 络 的 映射 ， 在 对 网 络 拓扑 
进行 更 改 后 , 都 可 随 之 更 新 该 网 际 网 络 的 映射 。 该 映射 称 为 链接 状态 数据 库 , 用 来 同步 OSPF 
路 由 器 和 计算 路 由 表 中 的 路 由 信息 。 邻 近 的 OSPF 路 由 器 形成 一 个 邻接 ， 它 是 路 由 器 之 间 的 
逻辑 关系 ， 用 来 同步 链接 状态 数据 库 。 

对 网 际 网 络 拓扑 的 更 改 被 有 效 地 覆盖 整个 网 际 网 络 ， 用 以 保证 每 个 路 由 器 上 的 链接 状态 
数据 库 总 是 同步 且 准 确 的。 一 旦 接收 到 链接 状态 数据 库 更 改 就 要 重新 计算 路 由 表 。 随 着 链接 
状态 数据 库 大 小 的 增长 ， 内 存 要 求 和 路 由 计算 时 间 也 相应 延长 。 针 对 该 比例 问题 ，OSPF 将 
网 际 网 络 分 成 区 域 (邻近 网 络 的 集合 )， 这 些 区 域 通过 一 个 主干 区 域 彼此 连接 。 每 个 路 由 器 只 
保持 一 个 与 该 路 由 器 相连 的 那些 区 域 的 连接 状态 数据 库 。 区 域 边 界 路 由 器 (ABR) 将 主干 区 
域 连 到 其 他 区 域 。 

OSPF 具有 胜 过 RIP 的 优势 , 例如 ，OSPF 计算 的 路 由 器 通常 是 不 循环 的 ， 能 调整 到 较 大 
或 非常 大 的 网 际 网 络 ， 对 网 络 拓扑 更 新 的 重新 配置 更 快 。 


Windows Server 2003 路 由 器 不 支持 在 请 求 拨号 配置 中 使 用 OSPF ， 该 配置 使 用 不 
固定 的 拨号 连接 。 


18.4.4 1IPX 路 由 协议 
通过 使 用 IPX 路 由 协议 的 路 由 信息 协议 (RIP) 传 播 PX 网 际 网 络 和 IPX 路 由 信息 。 服 务 


发 布 协议 (SAP) 用 于 传播 服务 器 服务 寻 址 信息 。 尽 管 SAP 不 是 一 个 真实 的 路 由 协议 ， 但 在 需 
要 Novell NetWare 连通 的 情况 下 ， 它 是 IPX 网 际 网 络 的 重要 组 件 。 
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2 )03 系统 管理 时 


1.IPX 的 RIP 


IPX 的 路 由 选择 信息 协议 (RIP) 是 周期 广播 的 协议 , 用 于 交换 IPX 网 络 路 由 。 用 于 IPX 的 
RIP 工作 方式 与 用 于 他 的 RIP 路 由 协议 很 类 似 ， 可 参考 IP 的 RIP 的 描述 。 

Windows Server 2003 路 由 器 支持 IPX 路 由 筛选 器 ， 它 可 以 有 选择 地 发 布 和 接收 IPX 
网 络 路 由 ， 也 可 以 配置 路 由 发 布 和 时 效 计 时 器 。 

2.1IPX 的 SAP 


服务 发 布 协议 (SAP) 允 许 那些 提供 服务 (如 文件 服务 器 和 打印 服务 器 ) 的 节点 公布 其 服务 
名 称 和 服务 所 在 的 IPX 网 际 网 络 地 址 。 由 IPX 路 由 器 和 SAP 服务 器 (如 NetWare 服务 器 ) 收 
集 和 传播 信息 。 需 要 连接 到 服务 的 NetWare 客户 端 只 需 查阅 SAP 服务 器 即 可 得 到 该 服务 的 
IPX 网 际 网 络 地 址 。 

宿主 服务 的 服务 器 定期 发 送 SAP 广播 -IPX 路 由 器 和 SAP 服务 器 接收 服务 器 SAP 广播 ， 
并 通过 周期 性 的 SAP 公布 传播 服务 信息 ， 以 保持 网 际 网 络 上 的 所 有 路 由 器 和 SAP 服务 器 同 
步 。 默 认 情况 下 ，SAP 公告 每 60 秒 发 送 一 次 。 一 旦 检测 到 服务 状态 被 更 改 ， 路 由 器 和 SAP 
服务 器 还 将 发 送 SAP 更 新 信息 。 

Windows Server 2003 路 由 器 的 SAP 功能 还 包括 响应 SAP GetNearestServer 请 求 的 功能 。 
当 NetWare 客户 端 初 始 化 网 络 时 ， 它 将 发 送 SAP GetNearestServer 请 求 的 广播 ， 试 图 查找 具 
有 指定 类 型 的 最 近 服 务 器 ， 可 以 配置 Windows Server 2003 路 由 器 来 响应 该 请 求 。 

可 以 设置 SAP 筛选 器 ， 以 便 有 选择 地 发 布 或 接收 指定 服务 。 


18.5 ”多 播 转发 和 路 由 


单 播 就 是 将 网 络 通信 发 送 到 某 个 特定 的 终结 点 ， 而 多 播 则 是 将 网 络 通信 发 送 到 一 组 终结 
点 。 只 有 监听 多 播 通 信 的 终结 点 组 (多 播 组 ) 的 成 员 才 可 以 处 理 多 播 通信 。 所 有 其 他 节点 都 会 
忽略 该 多 播 通信 。 可 以 使 用 多 播 通信 来 发 现 网 际 网 络 上 的 资源 ， 支 持 数据 广播 应 用 程序 ， 如 
文件 分 配 或 数据 库 同步 支持 多 播 多 媒体 应 用 程序 ， 如 数字 音频 和 视频 。 


18.5.1 多 播 转发 


多 播 转 发 即 智能 化 转发 多 播 通信 , 由 Windows Server 2003 TCP/IP 协议 和 Windows Server 
2003 IGMP 路 由 协议 提供 在 IGMP 路 由 器 模式 下 运行 的 接口 。 通 过 多 播 转 发 ， 路 由 器 将 多 播 
通信 转发 到 节点 侦 听 的 网 络 或 以 节点 侦 听 的 方向 转发 。 多 播 转发 可 以 防止 多 播 通信 转发 到 节 
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点 没有 侦 听 的 网 络 上 。 反 之 ,为 使 多 播 转发 通过 网 际 网 络 正常 工作 ,节点 和 路 由 器 必须 能 
够 进行 多 播 。 
1. 可 以 进行 多 播 的 节点 


可 以 进行 多 播 的 节点 必须 能 够 发 送 和 接收 多 播 数 据 包 ， 通 过 本 地 路 由 器 注册 节点 侦 听 的 
多 播 地 址 , 以 便 多 播 数据 包 可 以 转发 到 该 节点 所 在 的 网 络 上 。 所 有 运行 Windows Server 2003 
的 计算 机 都 可 以 进行 人 P 多 播 ,而 且 能 够 发 送 和 接收 下 多 播 通信 。 在 运行 Windows Server 2003 
并 发 送 多 播 通信 的 计算 机 上 ， 卫 多 播 应 用 程序 必须 使 用 适当 的 卫 多 播 地 址 作为 目标 下 地 址 
构建 卫 数据 包 。 在 运行 Windows Server 2003 并 接收 多 播 通信 的 计算 机 上 ， 卫 多 播 应 用 程序 
必须 通知 TCP/IP 协议 它们 正在 侦 听 到 指定 人 P 多 播 地址 的 所 有 通信 。 

卫 节点 使 用 “Intemet 组 管理 协议 IGMP)” 注 册 它 们 要 接收 来 自 他 路 由 器 的 人 P 多 播 通 
信 的 意图 。 使 用 IGMP 的 瑟 节点 通过 发 出 “IGMP 成 员 身 份 报告 ”数据 包 来 通知 其 本 地 路 由 
器 它们 正在 特定 的 瑟 多 播 地 址 上 侦 听 。 

2. 可 进行 多 播 的 路 由 器 


可 进行 多 播 的 路 由 器 必须 能 够 侦 听 所 连接 的 所 有 网 络 上 的 所 有 多 播 通信 ， 一 旦 接收 到 多 
播 通信 ， 就 将 该 多 播 数据 包 转发 到 所 连接 的 有 侦 听 节点 的 网 络 ， 或 其 下 游 路 由 器 上 有 侦 听 节 
点 的 网 络 。 在 Windows Server 2003 中 ，TCP/IP 协议 提供 了 侦 听 所 有 多 播 通信 和 转发 多 播 数 
据 包 的 功能 。TCP/IP 协议 通过 使 用 多 播 转发 表 来 决定 将 传 入 的 多 播 通信 转发 到 何 处 。 

在 Windows Server 2003 中 ， 以 IGMP 路 由 器 模式 进行 操作 的 接口 上 的 IGMP 路 由 协议 
提供 了 侦 听 “IGMP 成 员 身 份 报告 ”数据 包 和 更 新 TCP/IP 多 播 转发 表 的 功能 。 

通过 多 播 路 由 协议 ， 将 侦 听 信息 的 多 播 组 传播 到 其 他 可 进行 多 播 的 路 由 器 。 虽 然 
Windows Server 2003 不 支持 任何 多 播 路 由 协议 ， 但 是 “路 由 和 远程 访问 ”服务 是 一 个 可 扩展 
的 平台 且 支 持 多 播 路 由 协议 。 


与 “路 由 和 远程 访问 ”服务 一 起 提供 的 IGMP 路 由 协议 不 是 多 播 路 由 协议 。 


3. Windows Server 2003 的 IGMP 路 由 协议 


要 维护 TCP/IP 多 播 转发 表 中 的 项 ， 可 以 通过 IGMP 路 由 协议 来 执行 ， 使 用 “路 由 和 远 
程 访问 ”可 以 将 该 组 件 添加 为 卫 路 由 协议 。 添 加 了 IGMP 路 由 协议 之 后 ， 还 要 将 路 由 器 接 
口 添加 到 IGMP 中 。 用 户 可 以 使 用 IGMP 路 由 器 模式 和 IGMP 代理 模式 两 种 操作 模式 中 的 任 
一 种 来 配置 添加 到 IGMP 路 由 协议 的 每 个 接口 。 
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在 Windows Server 2003 中 ， 以 IGMP 路 由 器 模式 运行 的 接口 提供 了 侦 听 “IGMP 成 员 
身份 报告 数据 包 和 跟踪 组 成 员 身份 的 功能 , 必须 在 分 配 了 侦 听 多 播 主机 的 接口 上 启用 IGMP 
路 由 器 模式 。 

以 IGMP 代理 模式 运行 的 接口 充当 着 代理 多 播 主机 的 作用 ， 它 将 某 个 接口 上 的 “IGMP 
成 员 身份 报告 ”数据 包 发 送出 去 ， 以 便 接 收 IGMP 路 由 器 模式 下 运行 的 所 有 其 他 接口 上 所 接 
收 的 “IGMP 成 员 身份 报告 ”数据 包 。 连 接 到 IGMP 代理 模式 接口 所 在 网 络 的 上 游 路 由 器 将 
接收 IGMP 代理 模式 “成 员 身份 报告 ”数据 包 ， 并 将 它们 添加 到 自己 的 多 播 表 中 。 通 过 这 种 
方式 ， 上 游 路 由 器 将 多 播 组 的 多 播 数据 包 转 发 到 IGMP 代理 模式 接口 所 在 的 网 段 ， 这 些 多 播 
组 已 经 由 连接 到 IGMP 代理 模式 路 由 器 的 主机 进行 了 注册 。 当 上 游 路 由 器 将 多 播 通信 转发 到 
IGMP 代理 模式 接口 网 络 时 , 该 通信 会 根据 TCP/IP 协议 转发 到 IGMP 路 由 器 模式 接口 网 络 上 
的 合适 主机 。 在 所 有 运行 IGMP 路 由 器 模式 的 接口 上 接收 到 的 所 有 非 本 地 多 播 通信 ， 都 使 用 
IGMP 代理 模式 接口 转发 。 接 收 转发 的 多 播 通信 的 上 游 路 由 器 可 以 选择 转发 该 多 播 通信 或 是 
丢弃 它 。 通过 使 用 IGMP 代理 模式 , 连接 到 Windows Server 2003 路 由 器 的 网 络 上 的 多 播 源 可 
以 将 多 播 通信 发 送 给 连接 到 上 游 多 播 路 由 器 的 多 播 主机 。 IGMP 代理 模式 用 于 将 “IGMP 成 
员 身 份 报告 ”数据 包 从 只 有 一 个 路 由 器 的 Intranet 传递 到 具有 多 播 功能 的 Intemet 部 分 。 有 多 
播 功 能 的 Intemet 部 分 , 称 为 nternet 多 播 主干 网 或 MBone。 通 过 在 Intemet 接口 上 启用 IGMP 
代理 模式 ， 只 有 一 个 路 由 器 的 Intranet 中 的 主机 可 以 从 Internet 中 的 多 播 源 接收 多 播 通信 ， 以 
及 给 Intemet 上 的 主机 发 送 多 播 通 信 。 


18.5.2 ”多 播 路 由 


多 播 路 由 即 传播 多 播 侦 听信 息 ， 由 多 播 路 由 协议 如 远程 向 量 多 播 路 由 协议 (DVMRP) 提 
供 。Windows Server 2003 不 提供 任何 多 播 路 由 协议 ， 但 是 ， 可 以 使 用 Windows Server 2003 
IGMP 路 由 协议 和 IGMP 路 由 模式 及 IGMP 代理 模式 , 在 单个 路 由 器 的 Intranet 内 或 从 单个 路 
由 器 的 Intranet 连接 到 Intemet 时 提供 多 播 转发 。 通 过 多 播 路 由 ， 有 多 播 功能 的 路 由 器 互相 
交换 多 播 组 成 员 身 份 信息 ， 以 便 通 过 网 际 网 络 作 出 智能 化 多 播 转发 决定 。 多 播 路 由 器 使 用 多 
播 路 由 协议 互相 交换 多 播 组 成 员 身份 信息 。 

多 播 路 由 协议 包括“ 远程 向 量 多 播 路 由 协议 (DVMRP)”、“OSPF 的 多 播 扩 展 (MOSPF)”、 

“协议 无 关 的 疏 多 播 模 式 (PIM-SM)” 和 “协议 无 关 的 密 多 播 模式 (PIM-DM)”。Windows Server 

2003 不 包括 任何 多 播 路 由 协议 。 但 是 ，Windows Server 2003 路 由 器 是 一 个 可 以 扩展 的 平台 ， 
其 他 供应 商 也 可 以 创建 多 播 路 由 协议 。 

对 于 通过 单个 路 由 器 连接 多 个 网 络 的 ntranet， 可 以 在 所 有 的 路 由 器 接口 启用 IGMP 路 
由 器 模式 来 提供 多 播 资 源 和 任意 网 络 上 的 多 播 侦 听 主 机 之 间 的 多 播 转发 支持 。 

如 果 Windows Server 2003 路 由 器 通过 Intemet 服务 提供 商 (ISP) 连 接 到 MBone (支持 多 播 
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的 Intemet 部 分 ) 上 ， 则 可 以 使 用 IGMP 代理 服务 器 模式 从 Intemet 发 送 和 接收 多 播 通信 。 

当 多 播 通信 由 Intranet 主机 发 送 时 ， 通 过 IGMP 代理 服务 器 模式 接口 转发 到 ISP 路 由 器 
上 。 然 后 , ISP 路 由 器 将 其 转发 到 适当 的 下 游 路 由 器 , 这 样 Intemet 主机 就 能 接收 到 由 Intranet 
主机 发 送 的 多 播 通信 。 


使 用 IGMP 路 由 器 模式 和 IGMP 代理 模式 的 Windows Server 2003 IGMP 路 由 协议 
不 等 同 于 多 播 路 由 协议 。 对 于 多 个 路 由 器 的 Intranet 中 的 多 播 转 发 和 路 由 支持 ， 需 要 
多 播 路 由 协议 。 可 以 配置 IGMP 路 由 器 模式 及 IGMP 代理 服务 器 模式 接口 ， 为 多 个 路 
由 器 的 Intranet 提供 多 播 转发 支持 。 但 是 ， 一 般 不 推荐 或 支持 使 用 这 种 方式 。 


18.6 ”网 络 地 址 转换 NAT 


使 用 Windows Server 2003 的 网 络 地 址 转换 , 可 以 配置 家 庭 网 络 或 小 型 办 公 网 络 ,以 便 共 
享 到 Intemet 的 单个 连接 。 网 络 地 址 转换 包括 下 列 组 件 。 


1. 转换 组 件 


启用 网 络 地 址 转换 的 Windows Server 2003 路 由 器 (以 后 称 为 网 络 地 址 转换 计算 机 ) 作 为 网 
络 地 址 转换 器 (NAT), 它 可 转换 他 地 址 及 专用 网 络 和 Intemet 之 间 转 发 数据 包 的 TCP/UDP 端 
口号 。 


2. 寻 址 组 件 


网 络 地 址 转换 计算 机 为 家 庭 网 络 中 的 其 他 计算 机 提供 人 P 地 址 配置 信息 。 寻 址 组 件 是 简化 
的 DHCP 服务 器 ， 该 服务 器 可 分 配 他 地 址 、 子 网 掩 码 、 默 认 网 关 以 及 DNS 服务 器 的 全 地 
址 。 必须 将 家 庭 网 络 上 的 计算 机 配置 为 DHCP 客户 机 , 以 便 自动 接收 他 配置 Window 2000、 
Windows NT、Windows 95 和 Windows 98 计算 机 默认 的 TCP/IP 配置 是 DHCP 客户 机 。 


3. 名 称 解 析 组 件 
网 络 地 址 转换 计算 机 成 为 家 庭 网 络 上 其 他 计算 机 的 DNS 服务 器 。 当 网 络 地 址 转换 计算 


机 接收 到 名 称 解析 请 求 时 ， 它 随即 将 该 请 求 转发 到 配置 它 的 基于 Intemet 的 DNS 服务 器 ,并 
将 响应 返回 给 家 庭 网 络 计算 机 。 


A 
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18.7 ”请 求 拨号 路 由 


请 求 拨号 路 由 的 概念 相当 简单 ， 但 是 请 求 拨号 路 由 的 配置 相对 较 复杂 。 此 复杂 性 是 由 以 
下 因素 引起 的 。 


连接 终结 点 寻 址 : 必须 通过 公有 数据 网 络 进行 连接 ， 如 模拟 电话 系统 ， 连 接 的 终结 
点 必须 由 电话 号 码 或 其 他 终结 点 标识 符 标识 。 

呼叫 方 的 身份 验证 和 授权 : 使 用 路 由 器 的 任何 人 必须 经 过 身份 验证 和 授权 。 身 份 验 
证 基于 连接 建立 过 程 中 所 传递 的 呼叫 方 的 凭据 集 。 传 递 的 凭据 必须 与 Windows Server 
2003 帐户 对 应 .基于 Windows Server 2003 帐户 和 远程 访问 策略 的 拨 入 权限 进行 授权 。 
远程 访问 客户 端 和 路 由 器 之 间 的 差异 : 路 由 和 远程 访问 服务 共存 于 运行 Windows 
Server 2003 的 相同 计算 机 上 。 远 程 访问 客户 端 和 路 由 器 可 以 呼叫 相同 的 电话 号 码 。 

应 答 呼叫 并 运行 Windows Server 2003 的 计算 机 必须 可 以 从 正在 呼叫 以 创建 请 求 拨号 
连接 的 路 由 器 中 区 分 远程 访问 客户 端 。 要 从 请 求 拨号 路 由 器 中 区 分 远程 访问 客户 端 ， 
通过 呼叫 路 由 器 发 送 的 身份 验证 凭据 中 的 用 户 名 必须 与 应 答 路 由 器 中 请 求 拨号 接口 
的 名 称 相 匹配 。 和 否则， 将 假定 传 入 的 连接 是 远程 访问 连接 。 

两 个 连接 端的 配置 : 即使 只 有 一 个 连接 端正 在 初始 请 求 拨号 连接 ， 也 必须 配置 连接 
的 两 端 ， 只 配置 连接 的 一 端 意味 着 数据 包 只 会 向 一 个 方向 成 功 路 由 。 常 规 通信 需 
要 双向 传播 信息 。 

静态 路 由 的 配置 : 不 应 该 在 临时 拨号 请 求 拨号 连接 上 使 用 动态 路 由 协议 ， 因 此 ， 必 
须 将 经 过 请 求 拨号 接口 可 用 的 网 络 ID 的 路 由 作为 静态 路 由 添加 到 路 由 选择 表 中 。 可 
以 手动 或 通过 使 用 自动 静态 更 新 完成 此 操作 。 


18.8” 软 路 由 器 配置 


由 于 在 Windows Server 2003 中 路 由 和 远程 访问 服务 已 经 被 完全 集成 在 一 起 , 添加 路 由 
服务 器 实际 上 就 是 添加 路 由 和 远程 访问 服务 器 ， 只 是 在 添加 和 启动 过 程 中 只 启用 和 配置 路 由 
服务 相关 的 内 容 。 

在 添加 Windows Server 2003 远程 访问 路 由 器 之 前 , 管理 员 需 要 安装 所 有 硬件 并 使 其 正 
常 工 作 。 根 据 网 络 和 需要 ， 可 安装 下 列 硬 件 。 


带 有 合格 网 络 驱动 器 接口 规范 NDIS) 驱 动 程序 的 LAN 或 WAN 适配器 。 
一 个 或 多 个 兼容 的 调制 解 调 器 和 一 个 可 用 的 COM 端口 。 

带 有 多 远程 连接 的 可 接受 性 能 的 多 端口 适配器 。 

X.25 智能 卡 (如 果 使 用 X.25 网 络 )。 
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e ISDN 适配器 (如 果 使 用 ISDN 线路 )。 
所 有 需要 的 硬件 安装 之 后 ， 管 理 员 就 可 以 开始 添加 与 配置 Windows Server 2003 路 由 器 ， 
具体 步骤 如 下 。 


(1) 单 击 “ 开 始 ” 按 钮 ， 选 择 “ 管 理工 具 ”|“ 路 由 和 远程 访问 ”命令 ， 打 开 “ 路 由 和 远 
程 访问 ”窗口 ， 如 图 18-2 所 示 。 
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要 梁 加 一个 中 出 和 还 各 访问 服务 闫 ， 在 “ 委 作 ” 系 音 ， 单 击 “ 泽 加 
服务 训 
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再 和 辣 机 > 


到 
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图 18-2 “路 由 和 远程 访问 ”窗口 


(2) 在 默认 状态 下 ， 该 对 话 框 将 本 地 计算 机 列 出 为 路 由 服务 器 。 要 添加 其 他 服务 器 ， 可 
在 控制 台 目 录 树 的 “服务 器 状态 ”节点 上 单 击 鼠 标 右键 ， 然 后 在 弹出 的 快捷 菜单 中 选择 “ 添 
加 服务 器 ”命令 ， 打 开 “ 添 加 服务 器 ”对 话 框 ， 在 该 对 话 框 中 ， 通 过 设置 各 个 选项 来 选择 需 
要 添加 的 服务 器 ， 然 后 单 击 “ 确 定 ”按钮 。 

(3) 在 控制 台 目 录 树 中 ， 在 需要 启用 的 服务 器 上 单 击 鼠 标 右键 ， 然 后 在 弹出 的 快捷 菜单 
中 选择 “配置 并 启用 路 由 和 远程 访问 ”命令 ， 打 开 “ 路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 
框 ， 如 图 18-3 所 示 。 


(4) 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 配 置 ”对 话 框 ， 用 户 可 以 启用 系统 提供 的 服务 的 任意 
组 合 或 者 自 定义 此 服务 器 ， 如 图 18-4 所 示 。 
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图 18-3 “路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 图 184 “配置 ”对 话 框 
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(5) 若 选中 “ 自 定义 配置 ” 单 选 按钮 ， 则 单 击 “ 下 一 步 ” 按 钮 将 打开 “ 自 定义 配置 ”对 
话 框 ， 从 中 选择 需要 在 此 服务 器 上 启用 的 服务 ， 如 图 18-5 所 示 。 

(6) 选中 “LAN 路 由 ” 复 选 框 ， 单 击 “ 下 一 步 ”按钮 ， 打 开 完成 安装 向 导 的 对 话 框 ， 如 
图 18-6 所 示 。 
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(7) 单 击 “ 完 成 ”按钮 ， 即 可 完成 路 由 和 远程 访问 服务 的 安装 ， 然 后 可 以 在 “路 由 和 远 
程 访 问 ” 窗 口中 进行 查看 ， 如 图 18-7 所 示 。 

(8) 添加 路 由 器 之 后 ， 管 理 员 还 应 设置 路 由 器 的 作用 范围 ， 在 “路 由 和 远程 访问 ”窗口 
中 , 在 需要 启用 路 由 的 服务 器 名 称 上 单 击 鼠标 右键 , 然后 在 弹出 的 菜单 中 选择 “属性 ”命令 ， 
打开 该 服务 器 的 属性 对 话 框 。 在 “常规 ”选项 卡 上 ， 要 应 用 LAN 路 由 ， 可 以 选中 “ 仅 用 于 
局 域 网 LAN) 路 由 选择 ” 单 选 按钮 ， 要 应 用 LAN 和 WAN 路 由 ， 则 可 以 选中 “用 于 局 域 网 
和 请 求 拨号 路 由 选择 ” 单 选 按钮 ， 如 图 18-8 所 示 。 
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18-7 ”完成 安装 的 “路 由 和 远程 访问 ”窗口 图 18-8 “常规 ”选项 卡 
(9) 打开 “安全 ”选项 卡 ， 在 “身份 验证 提供 程序 ”下 拉 列 表 中 ， 用 户 可 以 选择 不 同 的 


身份 验证 程序 ， 如 图 18-9 所 示 。 
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(10) 打开 了 王选 项 卡 ， 用 户 可 以 选中 “启用 了 正路 由 ” 复 选 枉 和 “允许 基于 了 P 的 远程 访问 
和 请 求 拨号 连接 ” 复 选 框 ， 并 在 “JP 地 址 指派 ”选项 区 域 中 选中 “动态 主机 配置 协议 ” 单 选 
按钮 ， 如 图 18-10 所 示 。 


图 18-9 “安全 ”选项 卡 图 18-10 IP 选项 卡 


(11) 打开 PPP 选项 卡 ， 用 户 可 以 使 用 选项 卡 中 的 点 对 点 协议 选项 ， 如 图 18-11 所 示 。 
(12) 打开 “上 日志” 选项 卡 ， 用 户 可 以 选择 要 记录 的 事件 类 别 ， 如 图 18-12 所 示 。 
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图 18-11 PPP 选项 卡 18-12 “日 志 ” 选 项 卡 


18.9 NAT 配置 


使 用 Windows Server 2003 的 网 络 地 址 转换 ，Windows Server 2003 路 由 器 可 以 配置 家 庭 
网 络 或 小 型 办 公 网 络 ， 以 便 共 享 到 Intemet 的 单个 连接 。 下 面 将 对 网 络 地 址 转换 的 理解 、 部 
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署 和 具体 设置 进行 详细 的 介绍 ， 以 完成 网 络 地 址 转换 路 由 器 的 配置 工作 。 


18.9.1 添加 新 的 请 求 拨号 接口 


Windows Server 2003 路 由 器 使 用 一 个 路 由 接口 来 转发 单 播 卫 、IPX 或 AppleTalk 数据 
包 及 多 播 卫 数据 包 。 路 由 接口 是 Windows Server 2003 局 域 网 络 连接 的 物理 或 逻辑 接口 ， 主 
要 有 LAN 接口 、 请 求 拨号 接口 和 卫 中 的 卫 隧道 接口 3 种 类 型 。 

其 中 ， 请 求 拨号 接口 是 代表 点 对 点 连接 的 逻辑 接口 。 点 对 点 连接 基于 物理 连接 ， 例 如 
在 使 用 调制 解 调 器 的 模拟 电话 线 上 连接 的 两 个 路 由 器 或 逻辑 连接 ， 又 如 ， 在 使 用 Intemet 虚 
a Mei enh ae en i 


接 , 请求 拨号 接 口 所 和 的 设备 是 设备 上 的 一 个 端口 。 

如 果 管 理 员 配置 和 启用 的 是 请 求 拨号 路 由 服务 ， 则 必须 添加 新 的 请 求 拨号 路 由 接口 ， 具 
体操 作 步 又 如 下 。 

(1) 在 “路 由 和 远程 访问 ”窗口 中 展开 服务 器 节点 ， 然 后 在 “网 络 接口 ” 子 节点 上 单 击 
鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 请 求 拨号 接口 ”命令 ， 打 开 “ 请 求 拨号 接口 向 导 ” 
对 话 框 ， 如 图 18-13 所 示 。 

(2) 单 击 “ 下 一 步 ”按钮 ， 打 开 “ 接 口 名 称 ” 对 话 框 ， 在 “接口 名 称 ”文本 框 中 输入 新 接 
口 的 名 称 。 一 般 情况 下 ， 管理 风 应 根据 十 该 的 网 党 或 路由 澡 来 为 搂 朋 仙 名 ， 如 图 18-14 所 示 。 


请 求 技 号 接口 向 导 名 
欢迎 使 用 请 求 拨号 接口 向 导 - PUN too tn. 
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18-13 “请 求 拨号 接口 向 导 ” 对 话 框 18-14 “接口 名 称 ” 对 话 框 


(3) 单 击 “ 下 一 步 ”按钮 ， 系 统 将 打开 “VPN 类 型 ”对 话 框 ， 选 择 VPN 接口 的 种 类 : 
PPTP 或 者 L2TP。 也 可 选中 “自动 选择 ” 单 选 按钮 ， 由 系统 自己 决定 选择 哪 种 接口 类 型 ， 
如 图 18-15 所 示 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 目 标 地 址 ”对 话 框 ， 如 图 18-16 所 示 ， 在 “主机 名 或 
卫 地 址 ”文本 框 输入 需要 连接 的 路 由 服务 器 的 名 称 或 者 卫 地 址 。 
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输入 效 正 在 连 括 的 路 由 者 的 名 称 或 IP 地 址 。 


主机 名 或 王 地 址 micreseft com 或 157.54.0.1)00D; 
Fa 247.173.11 了 


wm | | 
图 18-15 “VPN 类 型 ”对 话 框 图 18-16 “目标 地 址 ”对 话 框 


(5) 单 击 “ 下 一 步 ”按钮 ， 在 打开 的 “协议 及 安全 措施 ”对 话 框 中 ， 选 择 所 有 适用 的 项 
目 ， 如 图 18-17 所 示 。 

(6) 然后 单 击 “ 下 一 步 ”按钮 ， 系 统 将 打开 “远程 网 络 的 静态 路 由 ”对 话 框 。 要 激活 请 
求 拨号 连接 ， 用 户 必 须 将 一 个 静态 路 由 添加 到 网 络 中 ， 如 图 18-18 所 示 。 
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(7) 然后 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 拨 出 凭据 ”对 话 框 。 在 该 对 话 框 中 ， 管 理 员 必须 
设置 连接 到 远程 路 由 服务 器 时 此 接口 使 用 的 用 户 名 和 密码 等 凭据 ， 这 些 凭 据 必须 和 在 远程 路 
由 服务 器 上 配置 的 拨 入 凭据 匹配 。 如 图 18-19 所 示 。 


EEEEPTTB 西 
其 出 玫 生 >、 
了 要 连接 | 检 路 由 各 村 要 俩 用 入 用 广 各 和 密 。 
上 


| 
18-19 ”设置 拨 出 凭据 


， 


[eg 


| 36 


RS es 


后) 其 纲 管理 上 


(8) 设置 完毕 后 ， 单 击 “ 下 一 步 ”按钮 ， 单 击 “ 完 成 ”按钮 即 可 。 
18.9.2 选择 网 络 地 址 转换 协议 


全 路 由 协议 是 不 同 路 由 器 之 间 传 递 信息 的 标准 。 在 动态 他 路 由 环境 中 ， 使 用 中 路 由 协 
议 传播 耻 由 信息 。 在 Intranet 中 最 常用 的 了 P 路 由 协议 有 5 种 , 网络 地 址 转换 协议 是 其 中 的 一 
种 。 在 默认 的 情况 下 ， 系 统 并 没有 自动 为 路 由 器 选择 这 种 IP 路 由 协议 , 管理 员 需 要 根据 具体 
情况 和 需要 来 进行 选择 。 

选择 网 络 地 址 转换 协议 的 具体 步骤 如 下 。 

(1) 选择 “开始 ”| “控制 面板 ”| “管理 工具 ”|“ 路 由 和 远程 访问 ”命令 ， 打 开 “ 路 由 和 
远程 访问 ”窗口 ， 在 控制 台 目 录 树 中 展开 服务 器 下 的 “IP 路 由 选择 ”节点 ， 在 “常规 ” 子 节 
点 上 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “新 增 路 由 选择 协议 ”命令 , 打开 “新 路 由 协 
议 ” 对 话 框 ， 如 图 18-20 所 示 。 


| 术 IGHF 路 由 器 以 及 代理 服务 器 
| 入 开 衣 式 最 短 跌 径 忧 先 (DsP?) 
| 术 用 于 laternet 协议 的 RTP 版 本 2 


18-20 ”选择 新 路 由 协议 


(2) 在 “路 由 协议 ”列表 框 中 选择 需要 添加 的 协议 。 
(3) 单 击 “ 确 定 ” 按 钮 ， 选 择 的 协议 就 会 出 现在 控制 台 的 “IP 路 由 选择 ”节点 下 。 


18.9.3 ”将 接口 添加 到 网 络 地 址 转换 


在 路 由 器 中 添加 接口 之 后 ， 还 必须 将 需要 的 接口 添加 到 网 络 地 址 转换 协议 中 ， 才 能 使 网 
络 地 址 转换 通过 该 接口 进行 地 址 转换 。 在 为 网 络 地 址 转换 添加 接口 时 ， 对 于 拨号 连接 到 
Intemet 的 计算 机 ， 应 选择 配置 连接 到 ISP 的 请 求 拨号 接口 。 对 于 永久 性 连接 到 Intemet 的 计 
算 机 ， 应 选择 配置 连接 到 ISP 的 永久 性 接口 。 

将 接口 添加 到 网 络 地 址 转换 协议 中 的 具体 步骤 如 下 。 

(1) 选择 “开始 ”| “控制 面板 ”|“ 管 理工 具 ”|“ 路 由 和 远程 访问 ”命令 ， 打 开 “ 路 由 和 
远程 访问 ”窗口 ， 在 控制 台 目录 树 中 ， 找 到 “网 络 地 址 转换 NAT)” 节 点 ， 在 该 节点 上 单 击 
鼠标 右键 ， 然 后 在 弹出 的 快捷 菜单 中 选择 “新 增 接口 ”命令 ， 打 开 “ 网 络 地 址 转换 (NAT) 的 
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新 接口 ”对 话 框 ， 如 图 18-21 所 示 。 


转换 的 接口 属性 对 话 框 ， 如 图 18-22 所 示 。 


(2) 在 “接口 ”列表 框 中 ， 选 择 要 添加 的 接口 ， 然 后 单 击 “ 确 定 ”按钮 ， 打 开 网 络 地 址 
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图 18-21 


“网 络 地址 转换 (NAT) 的 新 接口 ”对 话 框 ”图 18-22 网 络 地 址 转换 的 接口 属性 对 话 框 


(3) 如 果 要 将 该 接口 连接 到 Intemet, 可 在 “NAT/ 基 本 防火 墙 ” 选 项 卡 中 选中 “公共 接口 
连接 到 Intemet” 单 选 按 钮 和 “转换 TCP/UDP 头 (推荐 )” 复 选 框 。 如 果 该 接口 是 连接 到 小 型 
办 公 室 或 家 庭 网 络 ， 则 选中 “专用 接口 连接 到 专用 网 络 ” 单 选 按钮 。 

(4) 单 击 “ 确 定 ” 按 钮 关闭 该 对 话 框 。 


18.9.4 ”地 址 分 配 和 名 称 解 析 


由 前 面 所 介绍 的 内 容 可 知 , 配置 网 络 地 址 转换 路 由 器 需要 利用 DHCP 进行 地 址 分 配 和 利 
用 DNS 响应 名 称 解 析 请 求 ， 以 便 提供 有 效 的 客户 机 管理 。 但 是 ， 在 默认 的 情况 下 ， 这 两 项 
功能 都 没有 被 启用 ， 需 要 管理 员 手 动 完成 启动 和 配置 工作 ， 具 体操 作 步骤 如 下 。 
(1) 打开 “路 由 和 远程 访问 控制 台 ” 窗 口 ， 在 控制 台 目 录 树 中 的 “网 络 地 址 转换 (NAT)/ 
基本 防火 墙 ” 节 点 上 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 将 打开 设置 网 
络 地 址 转换 (NAT) 的 属性 对 话 框 ， 然 后 打开 “地 址 池 ” 选 项 卡 ， 如 图 18-23 所 示 。 
(2) 单 击 “ 添 加 ”按钮 打开“ 添加 地 址 池 ” 对 话 框 ， 在 “起 始 地址 ”、“ 结 束 地 址 ” 
和 “ 掩 码 ”文本 框 中 输入 所 需 的 内 容 ， 如 图 18-24 所 示 。 


(3) 设置 完毕 后 ， 单 击 “ 确 定 ”按钮 保存 设置 。 
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图 18-23 “地 址 池 ” 选 项 卡 图 18-24 “添加 地 址 池 ” 对 话 框 


18.10 ”OSPF 路 由 配置 


OSPF 使 用 “最 短路 径 优先 (SPF)” 算 法 来 计算 路 由 选择 表 中 的 路 由 。SPF 算法 计算 路 由 
器 是 所 有 网 际 网 络 的 网 络 之 间 的 最 短路 径 ( 最 低 成 本 )。SPF 计算 的 路 由 通常 是 自由 循环 的 ， 
不 像 RIP 路 由 器 一 样 交 换 路 由 表 项 ，OSPF 路 由 器 维护 网 际 网 络 的 映射 以 及 在 对 网 络 拓扑 进 
行 更 改 后 ， 都 可 以 更 新 该 网 际 网 络 的 映射 ， 该 映射 称 为 链接 状态 数据 库 ， 用 来 同步 OSPF 路 
由 器 和 计算 路 由 表 中 的 路 由 信息 。 邻 近 的 OSPF 路 由 器 形成 一 个 邻接 ， 它 是 路 由 器 之 间 的 罗 
辑 关 系 ， 用 来 同步 链接 状态 数据 库 。 对 网 际 网 络 拓扑 的 更 改 被 有 效 地 履 盖 整个 网 际 网 络 ， 以 
保证 每 个 路 由 器 上 的 链接 状态 数据 库 总 是 同步 且 准 确 的 ， 一 旦 接收 到 链接 状态 数据 库 更 
改 ， 就 要 重新 计算 路 由 表 。 

OSPF 被 正确 部 署 以 后 ，OSPF 环境 将 根据 网 际 网 络 的 路 由 变动 来 自动 添加 和 删除 路 由 ， 
但 是 必须 确保 每 个 路 由 器 都 已 正确 配置 ， 这 样 基于 OSPF 的 路 由 公告 才能 传播 到 网 际 网 络 的 
OSPF 路 由 器 上 。 

OSPF 路 由 环境 最 适合 较 大 型 到 特大 型 、 多 路 径 、 动 态 人 P 网 际 网 络 。 其 中 ， 大 型 到 特大 
型 网 际 网 络 是 指 包含 50 个 以 上 的 网 络 ; 多 路 径 指 的 是 在 网 际 网 络 的 任意 两 个 终点 之 间 有 多 
个 路 径 可 以 传播 数据 包 ; 动态 指 的 是 网 际 网 络 的 拓扑 会 随时 更 改 。 一 般 情况 下 ， 校 园 、 全 球 
性 企业 或 网 际 网 络 适用 于 OSPF 路 由 的 环境 。 但 是 ， 网 络 的 不 同 对 OSPF 的 具体 部 署 要 求 也 
有 所 差别 ， 本 节 只 对 其 中 的 一 些 常 用 设置 进行 介绍 。 


18.10.1 添加 OSPF 协议 


与 网 络 地 址 转换 协议 一 样 ， 默 认 情况 下 ，OSPF 协议 也 没有 添加 到 路 由 器 中 ， 需 要 管理 


员 在 设置 OSPF 路 由 网 络 时 手动 添加 ， 有 具体 操作 步骤 如 下 。 

(1) 打开 “路 由 和 远程 访问 ”窗口 ， 在 控制 台 目 录 树 中 展开 服务 器 下 的 “ 耳 路 由 选择 ” 
节点 。 在 “常规 ” 子 节点 上 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “新 路 由 选择 协议 ” 命 
令 , 打开 “新 路 由 协议 ”对 话 框 。 在 “路 由 协议 ”列表 框 中 , 选择 “开放 式 最 短路 径 优先 (OSPF)” 
选项 ， 如 图 18-25 所 示 。 


图 18-25 “新 路 由 协议 ”对 话 框 


(2) 单 击 “ 确 定 ”按钮 ， 完 成 添加 。 
18.10.2 OSPF 全 局 设置 


OSPF 全 局 设置 是 指 设置 OSPF 的 属性 ， 它 对 OSPF 的 所 有 接口 起 作用 ， 简 化 了 管理 员 
对 OSPF 路 由 接口 的 设置 过 程 。 OSPF 全 局 设置 包括 OSPF 常规 设置 、 区 域 和 虚拟 接口 的 创建 
以 及 外 部 路 由 的 选择 ， 下 面 将 分 别 进行 介绍 。 

1. 创建 OSPF 区 域 


在 路 由 选择 中 ， 随 着 链接 状态 数据 库 的 增长 ， 内 存 要 求 和 路 由 计算 时 间 也 将 延长 。 针 对 
这 种 情况 ，OSPF 将 网 际 网 络 分 成 区 域 (邻近 网 络 的 集合 )， 这 些 区 域 通 过 一 个 主干 区 域 的 区 域 
边界 路 由 器 (ABR) 彼 此 连接 。 每 个 路 由 器 只 保持 一 个 与 该 路 由 器 相连 的 那些 区 域 的 连接 状态 
数据 库 。 不 过 ，OSPF 区 域 不 是 自动 创建 的 ， 需 要 管理 员 根据 OSPF 网 际 网 络 的 具体 情况 来 
创建 ， 其 创建 过 程 如 下 。 

(1) 打开 “路 由 和 远程 访问 ”控制 台 窗口 ， 在 控制 台 目 录 树 中 展开 “了 路 由 选择 ”节点 ， 
在 OSPF 节点 上 单 击 鼠 标 右 键 ， 然 后 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 “OSPF 
属性 ”对 话 框 ， 打 开 “ 区 域 ” 选 项 卡 ， 如 图 18-26 所 示 。 

(2) 在 “区 域 ”选项 卡 中 ， 单 击 “ 添 加 ”按钮 ， 打 开 “OSPF 区 域 配置 ”对 话 框 ， 如 图 
18-27 所 示 。 


indows 


图 18-26 创建 OSPF 区 域 图 18-27 ”区 域 配 置 


(3) 在 “常规 ”选项 卡 的 “区 域 ID” 文 本 框 中 输入 标识 区 域 的 以 圆 点 分 隔 的 十 进 制 数 。 
要 使 用 明文 密码 ， 可 选中 “启用 明文 密码 ” 复 选 框 ， 要 将 区 域 标记 为 存根 区 域 ， 可 选中 “ 存 
根 区 域 ” 复 选 框 ， 并 在 “存根 跃 点 数 ”微调 器 中 设置 存根 跃 点 数 ， 要 将 其 他 区 域 的 路 由 导入 
到 存根 区 域 ， 则 可 以 选中 “导入 摘要 通告 ” 复 选 框 。 

(4) 选择 “范围 ”选项 卡 (如 图 18-28 所 示 )， 在 “目标 ”文本 框 中 输入 范围 的 他 网 络 ID， 
在 “网 络 掩 码 ” 文 本 框 中 输入 范围 的 相关 掩 码 ， 然 后 单 击 “ 添 加 ”按钮 完成 一 个 区 域 范围 的 
添加 。 要 删除 范围 , 在 地 址 范围 列表 框 中 选择 需要 删除 的 范围 , 然后 单 击 “ 删 除 ”按钮 即 可 。 


18-28 “范围 ”选项 卡 


(5) 设置 区 域 完毕 后 ， 单 击 “ 确 定 ” 按 钮 ， 返 回 “OSPF 属性 ”对 话 框 ， 然 后 单 击 “ 确 定 ” 
2. 配置 自治 系统 边界 路 由 器 


OSPF 自治 系统 (AS) 是 指 组 织 内 的 一 组 OSPF 路 由 集合 。 在 默认 情况 下 ， 只 有 相应 的 直 


接连 接 网 段 的 OSPF 路 由 在 AS 内 传播 。 外 部 路 由 是 指 不 在 OSPF AS 内 的 任何 路 由 , 它们 不 
能 直接 在 AS 内 传播 ， 只 能 通过 一 个 或 多 个 自治 系统 边界 路 由 器 (ASBR) 遍 历 整 个 OSPF AS。 
ASBR 可 以 在 OSPF AS 内 部 公布 外 部 路 由 ， 例 如 ， 如 果 需 要 公布 Windows Server 2003 路 由 
器 的 静态 路 由 ， 需 要 将 路 由 器 启用 为 ASBR 并 进行 配置 。 

配置 ASBR 的 具体 操作 步骤 如 下 。 

(1) 打开 “路 由 和 远程 访问 ”控制 台 窗 口 ， 在 控制 台 目 录 树 中 找到 OSPF 节点 ， 在 该 节 
点 上 单 击 鼠 标 右键 ， 然 后 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 “OSPF 属性 ”对 话 
框 。 在 “常规 ”选项 卡 中 选中 “启用 自治 系统 边界 路 由 器 ” 复 选 框 。 要 配置 外 部 路 由 源 ， 可 
以 在 “外 部 路 由 选择 ”选项 卡 中 选中 “接受 来 自 所 有 路 由 源 的 路 由 ， 除 选 定 的 以 外 ”或 “ 忽 
略 来 自 所 有 路 由 源 的 路 由 ， 除 选 定 的 以 外 ” 单 选 按钮 ， 并 选中 “路 由 源 ” 列 表 框 中 的 所 需 选 
项 ， 如 图 18-29 所 示 。 

(2) 要 配置 外 部 路 由 筛选 器 ， 单 击 “ 路 由 筛选 器 ”按钮 ， 打 开 “OSPF 外 部 路 由 筛选 器 ” 
对 话 框 ， 如 图 18-30 所 示 。 
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图 18-29 “外 部 路 由 选择 ”选项 卡 图 18-30 设置 外 部 路 由 筛选 器 


(3) 根据 需要 选中 “忽略 列 出 的 路 由 ”或 “接受 列 出 的 路 由 ” 单 选 按钮 ， 然 后 在 “目标 ” 
和 “网 络 掩 码 ” 文 本 框 中 输入 要 筛选 的 路 由 ， 接 着 单 击 “ 添 加 ”按钮 即 可 。 如 果 要 添加 多 个 
路 由 ， 可 重复 执行 这 步 操作 。 

(4) 单 击 “ 确 定 ” 按 钮 ， 返 回 到 “OSPF 属性 ”对 话 框 ， 然 后 单 击 “确定 ”按钮 关闭 对 话 框 。 

3. 添加 虚拟 接口 


通常 ，ABR 和 主干 区 域 之 间 都 有 物理 连接 ， 但 是 ， 当 其 他 区 域 到 主干 区 域 的 ABR 物理 
连接 不 可 存在 或 无 法 实现 时 ， 可 以 使 用 虚拟 链接 将 ABR 连接 到 主干 区 域 上 。 虚 拟 链接 是 区 
域 的 ABR 和 物理 连 到 主干 区 域 的 ABR 之 间 的 逻辑 点 对 点 连接 。 例 如 ， 在 区 域 2 的 ABR 和 
区 域 1 的 ABR 之 间 配 置 虚拟 链接 ， 用 户 可 以 把 区 域 1 的 ABR 物理 地 连 到 主干 区 域 上 ， 而 区 
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域 1 一 般 也 叫 传送 区 域 ， 通 过 该 区 域 创建 虚拟 链接 ， 可 以 很 方便 地 从 逻辑 上 将 区 域 2 连 到 主 
干 区 域 上 。 


要 创建 虚拟 链接 ， 虚 拟 链接 邻居 的 两 个 路 由 器 都 要 配置 中 转 区 域 、 虚 拟 链接 邻居 的 路 由 
器 ID、 匹 配 的 呼叫 和 停顿 间隔， 以 及 匹配 的 密码 ， 其 具体 操作 步骤 如 下 。 

(1) 打开 “路 由 和 远程 访问 ”控制 台 窗口 ， 在 控制 台 目 录 树 中 的 OSPF 节点 上 单 击 鼠 标 
右键 ， 然 后 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 “OSPF 属性 ”对 话 框 ， 打 开 “ 虚 
拟 接口 ”选项 卡 ， 如 图 18-31 所 示 。 

(2) 在 “虚拟 接口 ”选项 卡 上 , 单 击 “ 添 加 ”按钮 ,打开 “OSPF 虚拟 接口 配置 ”对 话 框 ， 
在 “中 转 区 域 ID ”下 拉 列 表 框 中 选择 连接 虚拟 链接 的 传输 区 域 ， 在 “虚拟 邻居 路 由 器 ID” 
文本 框 中 输入 路 由 器 的 OSPF 路 由 器 ID， 然后 分 别 在 “中 转 延 迟 ( 秒 )”、“ 重 传 间隔 ( 秒 )”、 
“呼叫 间隔 ( 秒 )” 和 “停顿 间隔 ( 秒 ) ”微调 器 设置 相应 的 值 (以 秒 为 单位 )。 
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18-31 “虚拟 接口 ”选项 卡 


如 果 配 置 的 主干 区 域 需 要 设置 密码 ， 则 在 “明文 密码 ”文本 框 中 输入 密码 。 
(3) 单 击 “确定 ”按钮 ， 返 回 到 “OSPF 属性 ”对 话 框 ， 然 后 单 击 “ 确 定 ”按钮 关闭 对 
话 框 。 


要 配置 虚拟 链接 , 每 个 虚拟 链接 邻居 都 必须 添加 并 配置 虚拟 接口 。 呼叫 间隔 、 停 
顿 间隔 和 密码 必须 在 虚拟 链接 的 邻居 之 间 互 相 匹配 。 
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19.1 系统 安全 概述 


信息 安全 对 今天 的 操作 系统 来 说 是 一 个 非常 重要 的 问题 ， 它 涉及 到 从 硬件 到 软件 、 从 单 
机 到 网 络 的 各 个 方面 的 安全 机 制 。 

在 今天 日 益 复杂 的 环境 中 ,为 了 达到 较 高 的 安全 程度 ，Windows Server 2003 提供 了 最 新 
的 公用 密 钥 证 书 和 动态 口令 技术 。 现在 , 企业 越 来 越 多 地 面临 着 通过 公共 网 络 进行 远程 访问 ， 
通过 Intemet 进行 企业 间 通 信 的 问题 ， 这 也 是 推动 安全 技术 发 展 的 动力 。 


19.1.1 安全 的 基本 概念 


在 理解 Windows Server 2003 的 各 种 安全 技术 之 前 , 先 来 熟悉 一 下 安全 方面 的 一 些 基本 


1. 对 称 加 密 


在 对 称 密 钥 密码 体制 中 ， 用 于 加 密 的 密 钥 与 用 于 解密 的 密 钥 完全 相同 。 在 对 称 密 钥 密码 
体制 中 ， 通 常 使 用 的 加 密 算法 比较 简便 、 高 效 ， 密 钥 虽 然 简短 ， 但 破译 却 极其 困难 。 在 该 密 
码 体制 中 传送 和 保管 密 钥 是 一 个 严峻 的 问题 。 

2. 非 对 称 加 密 


在 非 对 称 加 密 算 法 中 ， 加 密 密 钥 不 同 于 解密 密 钥 ， 加 密 密 钥 公之于众 ， 谁 都 可 以 使 用 。 
而 解密 密 钥 只 有 解密 人 自己 知道 。 它 们 分 别称 为 公用 密 钥 (Public key) 和 私 用 密 钥 (Private key)。 
3. 公 钥 体系 


公开 密 钥 密 码 体 制 是 现代 密码 学 中 最 重要 的 发 明和 进展 。 与 公开 密 钥 密码 体制 相对 应 的 
是 传统 密码 体制 ， 又 称 对 称 密 钥 密码 体制 。 在 对 称 密 钥 密码 体制 中 ， 用 于 加 密 的 密 钥 与 用 于 
解密 的 密 钥 完全 相同 。 而 后 又 产生 了 非 对 称 密 钥 密码 体制 即 公 钥 密码 体制 。 在 公 钥 密码 体制 
中 ， 加 密 密 钥 不 同 于 解密 密 钥 ， 加 密 密 钥 公之于众 ， 谁 都 可 以 使 用 ， 而 解密 密 钥 只 有 解密 人 
自己 知道 ， 它 们 分 别称 为 公用 密 钥 (Public key) 和 私 用 密 钥 (Private key)。 

在 迄今 为 止 的 所 有 公 钥 密码 体系 中 , RSA 系统 是 其 中 最 著名 的 一 种 。 RSA 公开 密 钥 密码 
系统 是 由 R.Rivest、A.Shamir 和 工 .Adleman 这 3 位 教授 于 1977 年 提出 的 。RSA 的 取 名 也 是 
来 自 于 这 3 位 发 明 者 姓氏 的 第 一 个 字母 。 

4. 数字 签名 


现实 生活 中 ， 签 名 的 目的 大 致 用 于 认证 签字 者 的 身份 ， 表 明 签字 者 确认 所 签 文件 的 内 容 


或 防止 签字 者 对 文件 内 容 的 算 改 。 那 么 是 否 可 对 电子 文件 签名 来 实现 以 上 目的 呢 ? 这 就 出 现 
了 数字 签名 。RSA 公 钥 体系 可 用 于 对 数据 信息 进行 数字 签名 。 其 方法 是 : 信息 发 送 者 用 其 私 
钥 对 所 传 报 文中 提取 出 的 特征 数据 (或 称 数字 指纹 ) 进 行 RSA 算法 操作 ， 以 保证 发 送 者 无 法 抵 
赖 曾 发 过 该 信息 ( 即 不 可 抵赖 性 )， 同时 也 确保 信息 报 文 在 传递 过 程 中 未 被 算 改 ( 即 完整 性 )。 当 
信息 接收 者 收 到 报 文 后 ， 就 可 以 用 发 送 者 的 公 钥 对 数字 签名 进行 验证 。 

在 数字 签名 中 有 重要 作用 的 数字 指纹 是 通过 一 类 特殊 的 散 列 函数 (HASH 函数 ) 生 成 的 ， 
对 这 些 HASH 函数 的 特殊 要 求 如 下 。 

e 接受 的 输入 报 文 数据 没有 长 度 限 制 。 
对 任何 输入 报 文 数据 生成 固定 长 度 的 摘要 (数字 指纹 ) 输 出 。 
从 报 文 能 方便 地 算出 摘要 。 
难以 对 指定 的 摘要 生成 一 个 报 文 ， 而 由 该 报 文 可 以 算出 指定 的 摘要 。 
难以 生成 两 个 不 同 的 报 文具 有 相同 的 摘要 。 
公 钥 与 证 书 的 区 别 


密 钥 生成 中 心 为 用 户 生成 一 对 密 钥 : 公 钥 和 私 钥 。 公 钥 公布 于 众 ， 私 钥 用 于 自己 保存 。 
私 钥 用 于 对 文件 加 密 或 签名 , 公 钥 用 于 对 文件 的 解密 及 验证 。 证 书 是 一 个 遵循 X.509 的 标准 ， 
由 CA 签发 。 证 书 内 容 包 含 用 户 信息 及 用 户 的 公 钥 ， 由 CA 用 其 私 钥 签发 。 因 此 可 以 认为 证 
书 是 CA 对 用 户 公 钥 的 认证 。 

6. SSL 协议 
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SSL 即 Secure Socket Layer 的 缩写 , 是 一 种 安全 传输 协议 。 它 被 浏览 器 软件 用 于 对 HITP 
协议 的 加 密 保护 ， 在 电子 商务 中 被 广泛 采用 。SSL 协议 的 优点 是 通用 性 好 ， 因 为 所 有 的 浏览 
器 均 支 持 SSL。 


19.1.2 Windows Server 2003 的 Kerberos 安全 验证 服务 


Windows Server 2003 通过 安全 服务 提供 者 接口 (Security Service Provider Interface， 简 称 
SSPD 实 现 了 应 用 协议 和 底层 安全 验证 协议 的 分 离 。 不 管 是 NTLM、Kerberos、Secure 
Channel(SChannel 是 Web 访问 的 常用 验证 方法 ), 还 是 DPA(Distributed Password Authentification， 
企业 和 内 容 网 站 常用 的 验证 方法 )， 它 们 对 于 应 用 层 来 说 都 是 一 致 的 。 应 用 厂商 还 可 以 通过 
Microsoft 提供 的 Platform SDK 产品 包 中 的 Security API 来 开发 自己 的 验证 机 制 。 

Kerberos 是 在 Intemet 上 长 期 被 采用 的 一 种 安全 验证 机 制 ， 它 是 基于 共享 密 钥 的 方式 。 
Kerberos 协议 定义 了 一 系列 有 关 客 户 机 、 密 钥 发 布 中 心 (Key Distribution Center， 简 称 KDC)， 
以 及 服务 器 之 间 获 得 和 使 用 Kerberos 票证 的 通信 过 程 。 

Kerberos 是 MIT( 美 国 麻 省 理工 大 学 ) 在 1985 年 开始 的 Athena 计划 中 的 一 部 分 ， 目 的 是 
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解决 在 分 布 校园 环境 下 ， 工 作 站 用 户 经 过 网 络 访问 服务 器 的 安全 问题 。Kerberos 的 名 字 来 自 
希腊 神话 中 守卫 地 狱 之 门 的 多 头 蛇 尾 狗 的 名 字 ， 原 计划 要 有 3 个 组 成 部 分 来 解决 网 络 的 安全 
问题 ， 即 认证 、 报 表 和 审计 ， 但 后 两 部 分 从 未 实现 。Kerberos 按 单 钥 体 制 设计 ， 以 Needham 
和 Schroeder[1978] 认 证 协议 为 部 分 基础 ， 由 可 信赖 中 心 支持 ， 以 用 户 服务 模式 实现 。 其 中 
V1~V3 为 开发 版 本 ，V4 是 原型 Kerberos， 获 得 广泛 应 用 。V5 自 1989 年 开始 设计 ，1994 年 
公布 作为 Internet 的 标准 草案 , 即 RFC1510 标准 。Windows Server 2003 就 是 采用 Kerberos V5 
的 标准 。 

Kerberos 在 分 布 式 环境 中 具有 足够 的 安全 性 ， 能 防止 攻击 和 窍 听 ， 能 提供 高 可 靠 性 和 高 
效 的 服务 ， 对 用 户 具 有 透明 性 ,用 户 除了 发 送 口令 之 外 ,不 会 觉察 出 认证 过 程 ， 可 扩充 性 好 。 

当 已 被 验证 的 客户 机 试图 访问 一 个 网 络 服务 时 ，Kerberos 服务 ( 即 KDC) 就 会 向 客户 端 发 
放 一 个 有 效 期 一 般 为 8 个 小 时 的 对 话 票 证 (Session Tickeb。 网 络 服务 不 需要 访问 目录 中 的 验证 
服务 ， 就 可 以 通过 对 话 票证 来 确认 客户 端的 身份 ， 这 种 对 话 的 建立 是 由 同一 棵 树 中 的 其 他 
KDC 发 放 票 证 ， 这 就 大 大 简化 了 大 型 网 络 中 多 域 模型 的 域 管理 工作 。 

另外 ，Kerberos 还 具有 强化 互 操作 性 的 优点 。 在 一 个 多 种 操作 系统 的 混合 环境 中 ， 
Kerberos 协议 提供 了 一 个 通过 统一 的 用 户 数据 库 为 各 种 计算 任务 进行 用 户 验证 的 能 力 。 即 使 
在 非 Windows Server 2003 平台 上 通过 KDC 验证 的 用 户 ， 如 从 Intemet 进入 的 用 户 ， 也 可 以 
通过 KDC 域 之 间 的 信任 关系 ， 获 得 无 颖 的 Windows Server 2003 网 络 访问 。 


19.1.3 ”Windows Server 2003 的 安全 特性 


Windows Server 2003 的 安全 特性 主要 体现 在 用 户 验证 (User Authentication) 和 访问 控制 
(Access Control) 方 面 。 为 保证 系统 管理 员 能 够 方便 有 效 地 管理 这 些 特性 , Windows Server 2003 
利用 了 Active Directory 的 功能 。 本 节 将 介绍 安全 模型 的 这 些 特性 。 

1. 用 户 验证 


Windows Server 2003 安全 模型 包括 用 户 验证 的 概念 , 它 授予 用 户 能 够 登录 到 网 络 并 访问 
网 络 资源 的 能 力 。 在 该 验证 模型 中 ， 安 全 系统 提供 了 两 类 验证 。 
e 交互 式 登 录 (Interactive logon): 它 在 本 地 计算 机 或 Active Directory 帐户 中 验证 用 户 的 
身份 。 
e 网 络 验证 (Network authentication): 当 用 户 尝试 访问 网 络 服务 时 ， 确 认 用 户 身份 。 为 
提供 此 类 证 书 , Windows Server 2003 安全 系统 提供 了 3 种 不 同 的 验证 机 制 : Kerberos 
V5、 公 用 密 钥 证 书 和 NTLM( 为 和 Windows 2000 系统 相 兼 容 而 提供 )。 


2. 基于 对 象 的 访问 控制 (Object-based access control) 


除了 用 户 验证 , Windows Server 2003 还 允许 系统 管理 员 控 制 对 网 络 中 的 资源 或 对 象 的 访 


问 。Windows Server 2003 通过 允许 系统 管理 员 对 存储 在 Active Directory 中 的 对 象 指定 安全 描 
述 符 (Security Descriptors) 来 使 用 访问 控制 (Access Control)。 

安全 描述 符 将 列 出 授权 访问 对 象 的 用 户 和 组 ， 以 及 指定 给 这 些 用 户 和 组 的 特殊 权限 。 安 
全 描述 符 还 指定 了 需要 为 该 对 象 进行 审核 的 各 类 访问 事件 。 对 象 包括 文件 、 打印 机 和 服务 等 ， 
通过 管理 对 象 的 属性 ， 系 统管 理 员 可 以 设置 权限 、 指 定 管理 人 并 监视 用 户 的 访问 。 

系统 管理 员 不 仅 可 以 对 一 个 特定 的 对 象 进行 访问 控制 ， 而 且 还 可 以 对 该 对 象 的 特殊 属性 
进行 访问 控制 。 例 如 ， 通 过 对 一 个 对 象 的 安全 描述 符 进行 适当 的 配置 ， 用 户 可 以 获 许 访问 一 
个 信息 子 集 ， 诸 如 职工 姓名 和 电话 号 码 ， 但 不 能 访问 其 家 庭 住址 。 

3. Active Directory 和 安全 性 


Active Directory 通过 使 用 对 象 的 访问 控制 和 用 户 凭 据 (Credentials) 来 提供 用 户 帐户 和 组 
信息 的 保护 存储 。 由 于 Active Directory 不 仅 存储 用 户 凭据 ， 而 且 还 包括 访问 控制 信息 ， 因 此 
登录 到 网 络 的 用 户 , 可 以 同时 获得 访问 系统 资源 的 验证 (Authentication) 和 授权 (Authorization)。 

例如 , 当 用 户 登录 到 网 络 时 , Windows Server 2003 安全 系统 将 使 用 存储 在 Active Directory 
中 的 信息 对 用 户 进行 验证 。 然 后 ， 当 用 户 登录 到 网 络 中 的 服务 时 ， 系 统 将 检查 该 服务 的 访问 
控制 列表 (ACL) 中 定义 的 属性 。 用 户 可 以 通过 随意 设 定 访问 控制 列表 (ACL) 来 设置 对 任何 组 织 
单位 中 的 对 象 的 管理 。 例 如 ， 可 以 授权 一 个 系统 管理 员 重 新 设置 密码 ， 但 不 授权 增加 或 删除 
帐号 的 权力 给 他 。 

由 于 Active Directory 允许 系统 管理 员 创建 组 帐户 , 所 以 系统 管理 员 可 以 更 有 效 地 管理 系 
统 安全 。 例 如 ， 系 统管 理 员 可 以 通过 调整 文件 属性 ， 来 授权 一 个 组 中 所 有 用 户 都 能 读 取 该 文 
件 。 这 样 可 以 使 得 对 Active Directory 对 象 的 访问 基于 组 成 员 。 

一 般 而 言 ，Windows Server 2003 中 提供 的 是 一 个 安全 性 框架 ， 并 不 偏重 于 任何 一 种 特定 
的 安全 特性 ， 即 不 是 提供 给 用 户 一 个 锤子 ， 让 用 户 去 找 合适 的 钉子 去 敲 。 新 的 安全 协议 、 加 
密 服务 提供 者 或 者 第 三 方 的 验证 技术 , 可 以 很 方便 地 结合 到 Windows Server 2003 的 “安全 服 
务 提供 者 接口 ”(SSPI，Security Service Provider Interface) 中 ， 以 供用 户 选用 。 

Windows Server 2003 意识 到 用 户 对 于 向 下 兼容 的 需要 ， 完 全 无 颖 地 对 Windows Server 
2000 网 络 提供 支持 ， 提 供 对 Windows 以 前 版 本 中 采用 的 NTLM(NT LAN Manager) 安 全 验证 
机 制 的 支持 。 用 户 可 以 选择 依照 自己 的 步调 迁移 到 Windows Server 2003 中 以 替代 NTLM 的 
Kerberos 安全 验证 机 制 。 

通过 在 Active Directory 中 使 用 组 策略 , 系统 管理 员 可 以 集中 地 把 所 需要 的 安全 保护 加 强 
到 某 个 容器 (SDOU) 的 所 有 用 户 /计算 机 对 象 上 。 Windows Server 2003 包括 了 一 些 安全 性 模板 ， 
既 可 以 针对 计算 机 所 担当 的 角色 来 实施 ， 也 可 以 作为 创建 定制 的 安全 性 模板 的 基础 。 安 全 性 
管理 的 扩展 性 表现 为 : 在 Active Directory 中 可 以 创建 非常 巨大 的 用 户 结构 ,用 户 可 以 根据 需 
要 访问 目录 中 存储 的 所 有 人 信息， 但是， 用户 所 在 的 域 或 组 织 单元 仍然 是 安全 性 的 边界 。 
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19.2 Windows Server 2003 的 安全 验证 


验证 (Authentication) 是 系统 安全 性 的 一 个 基本 因素 ， 它 确认 试图 登录 到 域 或 访问 网 络 资 
源 的 所 有 用 户 的 身份 -Windows Server 2003 的 验证 保证 了 对 所 有 网 络 资源 的 “单个 登录 (single 
sign-on)”。 使 用 “单个 登录 ”， 保 证 用 户 只 需 一 次 登录 到 域 ， 使 用 单个 口令 或 智能 卡 并 取得 
域 中 所 有 计算 机 的 验证 。 

Windows Server 2003 支持 验证 的 几 种 工业 标准 类 型 。 当 进行 验证 用 户 时 , Windows Server 
2003 使 用 不 同类 型 的 验证 ， 这 取决 于 多 种 因素 。Windows Server 2003 支持 的 验证 类 型 是 
Kerberos V5， 为 交互 式 登录 (Interactive logon)， 使 用 口令 或 智能 卡 。 这 也 是 默认 的 网 络 服务 的 
验证 方式 。 还 有 一 种 验证 是 通过 安全 套 接 层 /传输 层 安 全 (Security Socket Layer/Transport Layer 
Security, 简称 SSL/TLS) 来 验证 , 特别 是 当 用 户 试图 访问 安全 Web 服务 器 时 可 以 使 用 这 种 方式 。 


19.2.1 ”Kerberos V5 验证 


Kerberos V5 是 一 个 域 中 用 于 验证 的 主要 安全 协议 。Kerberos V5 协议 同时 检验 用 户 身 份 
和 网 络 服务 。 这 种 双重 检验 称 为 相互 验证 (Mutual Authentication)。 


1. Kerberos V5 工作 方式 


Kerberos V5 验证 机 制 为 访问 网 络 服务 发 布 票证 (Ticket)， 这 些 票 证 包含 加 密 数 据 ， 数 据 
中 包含 加 密 的 口令 ， 来 确认 请 求 服务 用 户 的 身份 。 除 了 输入 一 个 口令 或 智能 卡 凭据 外 ， 整 个 
验证 过 程 对 用 户 是 不 可 见 的 。 

Kerberos V5 中 的 一 个 重要 服务 是 密 钥 发 布 中 心 (Key Distribution Center， 简 称 KDC)。KDC 
作为 Active Directory 的 一 部 分 运行 在 每 个 域 控制 器 上 ， 它 存储 所 有 客户 的 口令 和 其 他 帐户 信息 。 

Kerberos V5 验证 过 程 是 按 以 下 步骤 工作 的 。 

(1) 客户 机 中 的 用 户 ， 使 用 口令 或 智能 卡 向 KDC(Key Distribution Center) 发 出 验证 请 求 。 

CO) KDC 向 客户 机 发 出 一 个 特别 的 授权 票证 (Ticket Granting Ticket， 简 称 TGT)。 客 户 机 
系统 使 用 该 TGT 访问 售票 服务 (Ticket Granting Service, 简称 TGS), 它 是 域 控 制 器 中 Kerberos 
V5 验证 机 制 的 一 部 分 。 

(3) 然后 ，TGS 向 客户 机 发 布 一 个 服务 票证 (Service Ticket), 客户 机 使 用 服务 票证 来 请 求 
网 络 服务 。 服 务 票证 用 来 证 明 服务 和 用 户 的 身份 。 


2. Kerberos V5 和 域 控制 器 


Kerberos V5 服务 安装 在 每 个 域 控 制 器 上 ， 而 Kerberos V5 客户 机 则 安装 在 每 个 Windows 
Server 2003 工作 站 和 服务 器 上 。 
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Windows Server 2003 系统 使 用 域名 服务 (DNS) 查 询 定位 最 近 的 可 用 域 控制 器 。 该 域 控制 
器 则 会 在 用 户 登 录 期 间 对 该 用 户 起 首选 KDC 的 作用 。 如 果 首 选 KDC 失效 ， 则 Windows 
Server 2003 系统 将 确定 由 另 一 个 KDC 提供 验证 。 


3. 验证 的 分 派 


验证 的 分 派 是 系统 管理 员 授予 用 户 或 计算 机 帐户 的 权限 。 默 认 情况 下 ， 只 有 系统 管理 员 
才能 被 赋予 该 权限 。 该 权限 必须 有 选择 地 赋予 可 信任 的 服务 器 程序 。 在 一 个 N 级 应 用 程序 中 ， 
用 户 针对 中 级 服务 进行 验证 ， 中 级 服务 则 代表 用 户 针对 后 台数 据 进行 验证 。 分 派 依赖 可 信任 
的 中 级 服务 进行 分 派 。 委 托 分 派 的 含义 是 指 服务 可 以 模仿 用 户 使 用 其 他 网 络 服务 。 

4. Kerberos V5 的 内 部 可 操作 性 


Windows 2003 Server 支持 两 种 类 型 的 Kerberos V5 内 部 可 操作 性 : 可 以 在 域 和 基于 MIT 
的 Kerberos 领域 间 建 立 委托 关系 。 这 意味 着 Kerberos 中 的 客户 机 可 以 对 Active Directory 域 
进行 验证 以 便 访 问 该 域 中 的 网 络 资源 .UNIX 客 户 机 和 服务 器 在 域 中 可 以 拥有 Active Directory 
帐户 ， 因 此 可 获得 域 控制 器 的 验证 。 


19.2.2 ”安全 策略 配置 


安全 策略 定义 了 系统 与 安全 相关 的 行为 。 通 过 使 用 Active Directory 中 的 组 策略 对 象 ， 系 
统管 理 员 可 以 在 中 央 位 置 应 用 保护 企业 系统 所 要 求 的 安全 级 别 。 要 应 用 安全 策略 ， 必 须 先 使 
用 安全 配置 工具 集 创建 和 配置 安全 配置 。 该 安全 配置 工具 集 用 于 创建 、 分 析 和 修改 计算 机 的 
安全 配置 。 另 外 ， 像 审核 策略 之 类 的 安全 特性 主要 用 于 监视 对 安全 系统 的 访问 ， 通 过 这 些 安 
全 工具 可 以 把 有 效 的 安全 配置 应 用 到 计算 机 系统 中 ， 以 便 提 供 更 安全 、 更 稳定 的 环境 。 


1. 安全 配置 和 分 析 管 理 单元 


在 创建 或 修改 安全 策略 时 ， 必 须 使 用 “安全 配置 和 分 析 ” 管 理 单元 。 这 个 安全 配置 编辑 
器 用 于 设置 和 管理 计算 机 配置 ， 以 应 用 到 本 地 计算 机 和 整个 组 策略 。 当 特定 的 组 策略 对 象 被 
选取 时 ， 在 Microsoft 管理 控制 台 内 进行 管理 时 这 些 “ 安 全 配置 和 分 析 ” 选 项 就 可 以 使 用 。 
能 够 应 用 整个 组 策略 的 11 个 功能 区 域 中 只 有 7 个 功能 是 通过 这 些 安全 工具 进行 配置 的 ， 
每 个 功能 区 域 由 它 自 己 的 策略 配置 选项 组 成 。 这 7 个 可 用 的 组 主要 用 于 配置 下 列 方面 ， 如 图 
19-1 所 示 。 
e 帐户 策略 ， 密 码 策略 、 帐 户 锁定 策略 和 Kerberos 策略 。 
本 地 策略 : 审核 策略 、 用 户 权限 分 配 和 安全 选项 。 
事件 日 志 : 事件 日 志 设置 。 
受 限制 的 组 : 安全 敏感 组 成 员 身份 。 
系统 服务 : 个 别 服务 的 选项 和 安全 性 。 


e ”注册 表 : 在 注册 表 密 锁 上 的 安全 性 。 
e 文件 系统 : 在 NTFS 分 区 上 的 安全 性 。 
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19-1 “安全 配置 和 分 析 ” 工 具 集 上 可 用 的 选项 


2. 配置 审核 策略 


Windows Server 2003 中 的 审核 可 以 跟踪 用 户 和 系统 事件 , 用 于 监视 计算 机 的 有 3 个 主要 
的 日 志 : 系统 日 志 用 于 监视 系统 事件 ， 如 服务 程序 没有 启动 或 设备 失效 ， 应 用 程序 日 志 用 于 
监视 所 有 与 安全 有 关 的 事件 ， 如 失效 的 登录 请 求 ， 审 核 用 于 安装 安全 日 志 。 审 核 条 目 由 下 列 
3 项 组 成 。 

e 执行 操作 的 用 户 或 进程 。 

。 执行 的 操作 。 

。 执行 的 操作 成 功 或 失败 。 

在 网 络 环境 中 配置 审核 时 ， 如 果 是 为 服务 器 或 工作 站 配置 审核 策略 ， 则 必须 为 每 台 计 算 
机 配置 策略 ， 组 策略 能 够 用 于 把 这 个 进程 自动 化 。 例 如 ， 创 建 一 个 策略 并 把 它 与 包含 所 有 计 
算 机 的 容器 相关 联 ， 则 所 有 计算 机 将 用 审核 策略 设置 进行 配置 。 如 果 是 为 域 控 制 器 配置 审核 
策略 ， 则 只 需 配 置 一 个 策略 ， 因 为 域 控 制 器 不 像 成 员 服 务 器 或 工作 站 那样 维持 本 地 数据 库 ， 
而 是 共享 域 数据 库 。 这 个 方法 与 早期 的 Windows 版 本 类 似 ， 差别 就 在 于 组 策略 。 使 用 组 策略 
可 以 一 次 配置 所 有 的 计算 机 ， 而 不 用 单个 的 配置 每 台 计 算 机 。 

要 创建 审核 安装 程序 ， 首 先 要 选择 或 创建 与 这 些 设置 相关 联 的 组 策略 对 象 。 例 如 ， 管 理 
员 可 以 选择 使 用 Default Domain Policy。 

下 面 是 配置 审核 策略 的 具体 操作 步骤 。 

(1) 打开 “开始 ”菜单 ， 选 择 “ 管 理工 具 ”|“ 域 安全 策略 ”命令 ， 打 开 “ 默 认 域 安全 设 
置 ”控制 台 窗口 ， 展 开 “ 安 全 设置 ”/“ 本 地 策略 ”节点 ， 选 择 “审核 策略 ”选项 ， 在 窗口 右 
侧 的 窗 格 中 将 显示 出 审核 策略 的 具体 选项 设置 ， 如 图 19-2 所 示 。 


(2) 在 右 侧 窗 格 中 右 击 要 配置 的 审核 事件 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 或 者 
直接 双击 要 配置 的 审核 事件 ， 将 打开 该 审核 事件 的 “属性 ”对 话 框 ， 在 该 对 话 框 中 可 以 选中 
“定义 这 些 策略 设置 ” 复 选 框 来 启用 该 策略 。 然 后 再 选中 “审核 这 些 操作 ”选项 区 域 中 的 “成 
功 ” 或 “失败 ” 复 选 框 ， 如 图 19-3 所 示 。 
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(3) 设置 完毕 后 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 使 设置 生效 。 
3. 安全 配置 模板 


安全 配置 模板 允许 创建 标准 的 安全 配置 以 分 发 到 其 他 计算 机 。 例 如 ， 用 户 可 以 在 服务 器 
上 设置 安全 配置 并 使 用 模板 ， 以 便 把 这 些 设置 应 用 到 其 他 服务 器 。 一 般 情 况 下 ， 默 认 的 安全 
配置 模板 存储 在 “系统 目录 \Security\Templates” 中 。 这 些 模板 是 在 安装 过 程 中 使 用 的 默认 安 
全 配置 ,也 被 称 为 基础 模板 。 在 Windows Server 2003 的 安装 过 程 中 才 应 用 这 些 模板 。 要 查看 
这 些 模板 ， 可 以 在 MMC 控制 台中 添加 “安全 模板 ”管理 单元 ， 如 图 19-4 所 示 。 
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在 “安全 模板 ”控制 台 窗 口中 用 户 可 以 打开 不 同 的 模板 文件 , 然后 进行 不 同 的 策略 配置 。 


在 升级 Windows 的 过 程 中 ,已 经 应 用 的 安全 策略 将 会 丢失 ,用户 必须 重新 应 用 安 
全 策略 来 保持 以 前 的 安全 配置 。 


19.2.3 数据 保护 


数据 的 保密 性 和 完整 性 是 从 网 络 验证 开始 的 。 用 户 可 以 使 用 正确 的 凭据 (牢固 的 口令 或 公 
用 密 钥 凭 据 ) 登 录 到 网 络 并 在 该 过 程 中 获得 访问 存储 数据 的 权限 。Windows Server 2003 支持 
两 种 数据 保护 类 型 :存储 数据 和 网 络 数据 。 


1. 存储 数据 保护 


用 户 可 以 使 用 以 下 方法 保护 存储 数据 (联机 或 脱 机 )。 
e 加密 文 件 系统 (EFS):; EFS 使 用 公用 密 钥 加 密 技术 对 本 地 NTFS 数据 进行 加 密 。 
e 数字 签名 : 数字 签名 将 表明 软件 来 源 以 确保 其 正确 性 。 


2. 网 络 数据 保护 


站 点 (本 地 网 络 和 子 网 ) 内 的 网 络 数据 是 由 验证 协议 保护 的 。 对 于 其 他 安全 级 别 ， 可 以 选 
择 加 密 站 点 内 的 网 络 数据 。 例 如， 可 以 使 用 他 安全 加 密 特 定 客户 机 或 域 中 所 有 客户 机 的 所 有 
网 络 通 信 ， 可 以 使 用 以 下 实用 工具 来 保护 传 入 和 传 出 站 点 (经 Intranet、Extranet 或 Intemet 网 
关 ) 的 网 络 数据 。 

e IP Security: 加 密 客户 机 的 所 有 TCP/IP 通信 。 

e 路 由 和 远程 访问 : 配置 远程 访问 协议 和 路 由 。 

e 代理 服务 器 : 为 站 点 提供 防火 墙 和 代理 服务 器 。 

此 外 ,诸如 Microsoft Exchange、Outlook 和 Intemet Explorer 等 程序 也 可 提供 站 点 内 部 或 
整个 网 络 中 消息 和 事物 的 公用 密 钥 加 密 。 


19.3 加密 文件 系统 (EFS) 


Windows Server 2003 支持 加 密 文件 系统 (Encrypting File System, 简称 EFS) 的 几 个 升级 版 
本 。EFS 允许 用 户 在 选取 的 NTFS 文件 和 文件 夹 中 加 密 数 据 ， 以 便 使 该 数据 可 以 秘密 地 存储 
在 计算 机 上 。EFS 提供 了 内 建 的 、 透 明 的 文件 和 文件 夹 加 密 文件 。 尽 管 EFS 对 Windows 客 


户 端 来 说 很 容易 使 用 , 但 作为 一 名 Server 系统 管理 员 , 还 是 需要 透彻 地 了 解 其 协议 的 复杂 性 。 
本 节 将 介绍 如 何 配 置 EFS 和 恢复 数据 。 


Windows Server 2003 在 Windows 2000 的 基础 上 , 对 EFS 进行 了 改进 ,例如 , 在 Windows 
Server 2003 中 可 以 对 脱 机 文件 数据 库 进 行 增强 加 密 ， 这 对 Windows 2000 来 说 是 一 个 进步 ， 
因为 缓存 文件 现在 也 可 以 加 密 。 


19.3.1 EFS 概述 


Windows Server 2003 的 EFS 基于 公 钥 加 密 ， 并 利用 了 操作 系统 的 CryptoAPI 体系 结构 。 
EFS 采用 一 个 随机 生成 的 密 钥 对 每 个 文件 进行 加 密 ， 这 种 密 钥 独立 于 用 户 的 公 钥 / 私 钥 。 如 不 
存在 ，EFS 可 以 为 用 户 自 动 生成 一 个 密 钥 对 和 一 个 证 书 ; 如 果 原 始 文件 位 于 NTFS 卷 ， 则 临 
时 文件 也 会 得 到 加 密 。 一 般 情 况 下 ，EFS 是 集成 于 操作 系统 内 核 ， 并 采用 未 分 页 的 内 存 文件 
密 钥 来 确保 它们 绝对 不 会 在 分 页 文件 中 使 用 。 

在 Windows Server 2003 中 , 可 以 采用 扩展 的 “数据 加 密 标 准 ”(Data Encryption Standard， 

简称 DESX) 或 者 Triple 一 DES(3DES) 算 法 进行 加 密 。 由 微软 加 密 服务 提供 程序 (Crytographic 
Service Providers， 简 称 CSP) 提 供 的 RSA Base 和 RSA Enhanced 软件 都 可 用 于 EFS 证 书 ， 并 
可 用 于 对 称 密 钥 的 加 密 。 
EFS 可 针对 单独 的 文件 或 文件 夹 进行 加 密 。 在 一 个 加 密 的 父 文 件 夹 中 ， 所 有 子 文件 和 文 
件 夹 也 会 默认 被 加 密 。 为 简单 起 见 ， 应 鼓励 用 户 尽 可 能 地 加 密 文件 夹 ， 并 将 所 有 需要 加 密 的 
数据 保存 到 被 加 密 的 一 个 父 文件 夹 中 。 然 而 ， 实 际 上 每 个 文件 都 有 自己 唯一 的 加 密 密 钥 ， 这 
样 可 以 确保 即便 将 其 移 到 同一 个 卷 的 某 个 未 加 密 的 文件 夹 中 ， 仍 能 保持 其 加 密 状态 。 


如 果 将 加 密 文 件 从 一 个 NTFS 卷 移 到 一 个 FAT 卷 , 会 导致 文件 解密 。 不 过 ， 当 文 
件 移动 时 只 有 当初 加 密 文 件 的 用 户 登录 时 ， 才 会 解密 。 


19.3.2 ”EFS 的 结构 组 件 


Windows Server 2003 的 EFS 有 如 下 几 个 核心 组 件 。 
e。 EFS 驱动 程序 

e。 EFS 文件 系统 运行 时 间 库 

e。 EFS 服务 

® Win32 API 


后) 项 网 乱 理 上 


1. EFS 驱动 程序 


EFS 有 几 个 核心 组 件 构成 。 例 如 ，EFS 驱动 程序 要 同 EFS 服务 进行 通信 ， 以 请 求 数据 解 
密 字 段 ， 数 据 恢复 字段 和 加 密 字 段 以 及 加 密 密 钥 。EFS 驱动 程序 还 要 与 “文件 系统 运行 时 间 
库 ”(File System Run Time Library， 简 称 FSRTL) 进 行 交 互 ， 这 样 才能 进行 文件 加 密 操作 。 

2. EFS 文件 系统 运行 时 间 库 


文件 系统 运行 时 间 库 是 EFS 驱动 程序 中 的 一 个 模块 ，NTFS 通过 对 文件 系统 运行 时 间 库 
进行 调用 ， 可 以 打开 、 读 取 和 写 入 加 密 文 件 及 文件 夹 。 文 件 系统 运行 时 间 库 还 负责 对 来 自 磁 
盘 的 文件 数据 进行 加 密 、 解 密 和 恢复 。 尽管 EFS 驱动 程序 和 文件 系统 运行 时 间 库 是 作为 单个 
组 件 实现 的 ， 但 两 者 永远 不 会 直接 通信 ; 用 户 可 以 利用 NTFS 文件 控制 调用 机 制 来 传递 两 者 
之 间 的 消息 。 所 以 ，NTFS 是 所 有 文件 操作 的 参与 者 。 

3. EFS 服务 


EFS 服务 是 Windows Server 2003 安全 子 系统 的 一 部 分 , 它 通过 LPC 通信 端口 与 EFS 驱动 
程序 进行 通信 。 另 外 ，EFS 服务 还 为 Win32 API 提供 支持 ， 后 者 用 于 处 理 加 密 、 解 密 和 恢复 。 
4. Win32 API 


Win32 API 提供 了 编程 接口 ， 用 于 加 密 纯 文本 文件 、 解 密 或 删除 加 密 的 文本 文件 ， 以 及 导 
入 和 导出 加 密 文 件 (而 无 须 事先 解密 ), 这 些 API 函数 由 标准 的 DLL 文件 Advapi32.dll 提供 支持 。 


£1 和 
人 并 
对 Windows 客户 端 来 说 加密 过 程 是 透明 的 ， 作 为 网 管 ， 应 要 求 用 户 始终 用 EFS 
来 保存 敏感 数据 。 建 议 在 文件 夹 一 级 进行 加 密 ， 以 防止 在 转换 过 程 中 将 纯 文本 临时 文 
件 遗 留 在 硬盘 驱动 器 上 。 


19.3.3 ”数据 恢复 


数据 恢复 是 EFS 的 一 个 特性 ， 以 方便 人 们 获取 加 密 信息 。 例 如 ， 如 果 用 户 忘记 了 自己 的 
密码 ， 默 认 的 域 系统 管理 员 就 能 进行 解密 ， 拯 救 加 密 文件 。 此 外 ， 默 认 域 系统 管理 员 还 能 将 
这 种 解密 权限 指派 给 其 他 系统 管理 员 帐 户 。 本 节 就 将 讲解 数据 恢复 机 制 ， 并 介绍 如 何在 用 户 
的 安全 策略 中 实现 它 。 

如 上 所 述 ，EFS 使 用 的 是 公 钥 / 私 钥 对 加 密 。 然 而 ， 公 钥 不 能 加 密 文 件 本 身 ， 而 是 每 个 文件 
都 有 一 个 唯一 的 密 钥 , 称 为 “文件 加 密 密 钥 ”(File Encryption Key, 简称 FEK), 它 是 由 CryptoAPI 
生成 的 。 在 这 里 ， 公 钥 的 作用 是 对 每 个 文件 的 唯一 FEK 进行 加 密 。 加 密 后 的 FEK 保存 于 加 密 文 
件 头 部 的 “数据 解密 字段 ”(Data Decrytion Field， 简 称 DDF) 中 。 所 以 ， 当 用 户 打开 一 个 文件 时 ， 


他 /她 的 私 钥 用 于 对 FEK 进行 解密 ， 然 后 用 解密 后 FEK 明文 对 文件 本 身 进行 解密 。 

除 此 之 外 ， 每 个 故障 恢复 代理 的 公 钥 也 可 以 单独 加 密 EFK。 这 种 恢复 EFK 保存 在 文件 
头 的 一 个 独立 部 分 中 ， 即 “数据 恢复 字段 ”(Data Recovery Field， 简 称 DRF)。 所 以 ， 如 果 使 
用 了 数据 恢复 功能 ， 故 障 恢复 代理 的 私 钥 将 解密 自己 的 FEK， 再 由 后 者 对 文件 进行 解密 。 

如 果 存 在 一 个 证 书 颁 发 机 构 (CA), 那么 EFS 将 联系 CA 以 获得 证 书 , 但 CA 并 非 必需 的 。 
例如 在 单机 上 ，EFS 会 创建 一 个 密 钥 对 ， 然 后 自行 签发 证 书 。 这 样 ， 即 使 用 户 没有 管理 权限 ， 
也 能 使 用 文件 加 密 功能 。 


19.3.4 实现 EFS 服务 


用 户 可 以 使 用 EFS 进行 加 密 、 解密、 访问、 复制 文件 或 文件 夹 等 操作 ， 系 统 在 安装 时 就 
默认 安装 了 EFS 服务 。 而 且 Windows 2000 曾 引入 了 一 种 新 的 客户 端 缓存 功能 ， 在 Windows 
Server 2003 中 ， 现 在 称 为 脱 机 文件 。 该 技术 允许 网 络 用 户 访问 网 络 共享 上 的 文件 一 一 即使 客 
户 机 从 网 络 断 开 连 接 。 从 网 络 断 开 后 ， 用 户 仍 能 浏览 、 读 取 和 编辑 文件 ， 因 为 数据 已 经 在 客 
户 机 上 缓存 下 来 了 。 当 用 户 再 次 连接 到 网 络 时 ， 系 统 会 在 服务 器 上 ， 对 本 地 发 生 的 改变 进行 
同步 。 因 此 ， 用 户 可 以 利用 EFS 对 脱 机 文件 夹 进行 加 密 。 

下 面 就 介绍 如 何 实现 EFS 服务 。 


1. 加 密 文件 夹 或 文件 


(1) 选择 “开始 ”|“ 所 有 程序 ”|“ 附 件 ”| “Windows 资源 管理 器 ”命令 , 打开 “Windows 
资源 管理 器 ”窗口 。 右 击 想 要 加 密 的 文件 夹 或 文件 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 
打开 “属性 ”对 话 框 ， 选 择 “常规 ”选项 卡 ， 如 图 19-5 所 示 。 

(2) 在 “常规 ”选项 卡 中 单 击 “ 高 级 ”按钮 ， 在 打开 的 “高 级 属性 ”对 话 框 中 ， 选 中 “加 
密 内 容 以 便 保 护 数据 ” 复 选 框 ， 如 图 19-6 所 示 。 
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(3) 单 击 “ 确 定 ”按钮 ， 系 统 会 打开 “确认 属性 更 改 ” 对 话 框 ， 用 户 可 以 选择 是 加 密 文 
件 夹 及 其 子 文件 夹 ， 还 是 仅仅 加 密 文件 夹 本 身 。 一 般 情况 下 ， 建 议 用 户 选 择 加 密 文 件 夹 以 及 
所 有 文件 和 子 文件 夹 ， 如 图 19-7 所 示 。 


图 19-7 “确定 属性 更 改 ” 对 话 框 


(4) 最 后 ， 单 击 “ 确 定 ” 按 钮 即 可 完成 加 密 。 


使 用 EFS 加 密 文 件 夹 时 ， 具 有 较 高 权限 的 用 户 也 许 能 解密 已 经 加 密 的 文件 和 文 
件 夹 。 因 此 ， 不 要 只 出 于 合理 的 工作 需要 ， 才 使 用 加 密 功 能 。 


2. 解密 文件 或 文件 夹 


用 户 也 可 以 使 用 “Windows 资源 管理 器 ”对 文件 夹 进行 解密 ， 而 且 一 般 无 需 解 密 即 可 打 
开 文 件 并 进行 编辑 一 一 EFS 在 用 户 面前 是 透明 的 。 如 果 正 式 解密 一 个 文件 ， 那 就 会 使 其 他 用 
户 随 意 访问 该 文件 。 

下 面 是 解密 文件 或 文件 夹 的 具体 步骤 。 

(1) 选择 “开始 ” |“ 所 有 程序 ”" |“ 附件 ”|“Windows 资源 管理 器 ”命令 , 打开 “Windows 
资源 管理 器 ”窗口 。 右 击 想 要 解密 的 文件 夹 或 文件 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 
打开 “属性 ”对 话 框 ， 选 择 “ 常 规 ” 选 项 卡 。 

(2) 在 “常规 ”选项 卡 中 单 击 “ 高 级 ”按钮 ， 在 打开 的 “高 级 属性 ”对 话 框 中 ， 取 消 选 
中 “加 密 内 容 以 便 保 护 数据 ” 复 选 框 ， 单 击 “ 确 定 ”按钮 。 

(3) 在 弹出 的 “确认 属性 更 改 ” 对 话 框 中 选择 是 对 文件 夹 及 其 所 有 内 容 进行 解密 ， 还 是 
只 解密 文件 夹 本 身 。 默 认 情 况 下 是 对 文件 夹 进行 解密 。 最 后 单 击 “确定 ” 按 钮 即 可 。 

3. 使 用 加 密 文件 或 文件 夹 


作为 当初 加 密 文 件 的 用 户 ， 不 一 定 非 要 解密 才能 使 用 它 。EFS 会 在 后 台 透 明 地 为 用 户 执 
行 任务 。 用 户 可 以 正常 地 打开 、 编 辑 、 复 制 和 重 命名 文件 。 然 而 ， 如 果 用 户 不 是 加 密 文 件 的 


创建 者 或 不 具有 一 定 的 访问 权限 ， 则 在 试图 访问 该 文件 时 将 会 看 到 一 条 访问 被 拒绝 的 消息 。 

对 于 一 个 加 密 文 件 夹 来 说 ， 如 果 在 它 加 密 之 前 访问 过 它 ， 则 加 密 后 仍 可 以 打开 它 。 如 果 
一 个 文件 夹 的 属性 设置 为 “加 密 ”， 那 么 它 只 是 指 该 文件 夹 中 的 所 有 文件 会 在 创建 时 进行 加 
密 ; 另外 ， 子 文件 夹 在 创建 时 也 会 被 标记 为 “加 密 ”。 


4. 复制 加 密 文件 或 文件 夹 


在 同一 台 计 算 机 中 , 如 果 将 文件 或 文件 夹 从 Windows Server 2003 的 一 个 NTFS 分 区 复制 
到 另 一 个 NTFS 分 区 ， 加 密 属性 会 予以 保留 。 所 以 ， 可 向 对 待 普通 的 非 加 密 文 件 一 样 对 加 密 
文件 或 文件 夹 进行 复制 ， 复 制 的 副本 仍然 加 密 。 但 是 ， 如 果 在 同一 台 计 算 机 中 将 文件 或 文件 
夹 从 Windows Server 2003 的 一 个 NTFS 分 区 复制 到 一 个 FAT/FAT32 分 区 , 文件 将 会 丢失 
加 密 属 性 。 

如 果 将 文件 或 文件 夹 复制 到 另 一 台 计 算 机 ， 而 且 两 台 计算 机 均 使 用 NTFS 分 区 ， 那 么 ， 
是 否 加 密 要 取决 于 目标 计算 机 。 如 果 远 程 计算 机 人 允许 加 密 文 本 ， 副 本 会 被 加 密 ; 否则 ， 它 会 
被 解密 。 为 使 传输 正常 进行 ， 远 程 计算 机 必须 是 受信 的 委托 方 ， 即 在 域 环境 中 ， 远 程 加 密 默 
认 情 况 下 是 未 启用 的 。 


四 


传输 了 一 个 加 密 文 件 后 ， 应 注意 检查 远程 副本 是 否 维持 加 密 ， 因 此 ， 需 要 单 击 
“文件 属性 ”对 话 框 的 “高 级 ”按钮 ， 确 定 目标 文件 是 否 已 经 加 密 。 


5. 加 密 远程 服务 器 上 的 文件 和 文件 夹 


如 果 使 用 和 当初 加 密 时 一 样 的 帐户 登录 ， 可 以 透明 地 加 密 、 解 密 和 访问 存储 在 远程 服务 
器 上 的 文件 。 然 而 ， 必 须 记 住 使 用 备份 和 恢复 机 制 移动 加 密 文 件 时 ， 必 须 同 时 移动 加 密 证 书 
和 私 钥 以 便 能 在 新 位 置 使 用 加 密 文 件 。 没 有 正确 的 私 钥 ， 将 不 能 打开 或 解密 文件 。 

通过 网 络 打开 加 密 文 件 或 通过 网 络 传输 数据 将 不 能 加 密 ; 用户 必 须 使 用 其 他 协议 对 网 络 
中 传输 的 数据 加 密 ， 如 安全 套 接 字 层 /个 人 通信 技术 (SSL/PCT) 或 者 Intemet 协议 安全 (PSec) 等 。 

6. 加 密 脱 机 文库 


Windows Server 2003 允许 对 脱 机 文件 数据 库 进 行 加密 ， 而 在 Windows 2000 中 ， 缓 存 文 
件 是 不 能 加 密 的 。 系 统管 理 员 还 可 利用 这 一 特性 对 本 地 缓存 的 所 有 文档 进行 物理 保安 。 如 便 
携 机 或 Pocket PC 失窃 ， 加 密 的 脱 机 文件 也 提供 了 附加 的 安全 级 别 。 这 一 新 的 特性 支持 对 整 
个 脱 机 文件 数据 库 的 加 密 与 解密 ， 但 是 要 配置 这 一 选项 ， 必 须 以 管理 员 身 份 登录 。 

要 加 密 脱 机 文件 ， 可 在 “我 的 电脑 ”中 ， 选 择 “ 工 具 ”|“ 文 件 夹 选项 ”命令 ,打开 “ 文 
件 夹 选项 ”对 话 框 ， 选 择 “ 脱 机 文件 ”选项 卡 ， 在 该 选项 卡 中 选中 “加 密 脱 机 文件 以 保护 数 


Ry Windows 
Secnverm2003ET3D9 


据 ” 复 选 框 即 可 ， 如 图 19-8 所 示 。 
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图 19-8 “文件 夹 选项 ”对 话 框 


19.4 系统 及 网 络 端口 安全 防护 


计算 机 之 间 通 信和 是 通过 端口 进行 的 ， 端 口 是 计 算 机 与 外 界 通讯 的 “窗口 ”， 各 类 数据 包 
都 会 在 封装 的 时 候 填 加 进 端口 的 信息 ， 以 便 在 数据 包 接受 后 拆 包 识别 。 例 如 本 机 访问 一 个 网 
站 时 ，Windows 就 会 在 本 机 开 一 个 端口 (例如 1025 端口 ), 然后 去 连接 远方 网 站 服务 器 的 一 个 
端口 ， 别 人 访问 本 机 时 也 是 如 此 。 默 认 状 态 下 ，Windows 会 在 用 户 的 电脑 上 打开 许多 服务 端 
口 , 黑客 常常 利用 这 些 端口 来 实施 入 侵 , 因此 掌握 端口 方面 的 知识 ， 是 网 络 安全 必 备 的 技能 。 


19.4.1 常用 端口 及 其 分 类 


电脑 在 Intemet 上 相互 通信 需要 使 用 TCP/IP 协议 ， 根 据 TCP/IP 协议 规定 ， 电 脑 有 256 
X256(65536) 个 端口 ， 这 些 端口 可 分 为 TCP 端口 和 UDP 端口 两 种 。 如 果 按照 端口 号 划分 ， 它 
们 又 可 以 分 为 以 下 两 大 类 。 

1. 系统 保留 端口 (从 0 到 1023) 

这 些 端口 不 允许 使 用 ， 它 们 都 有 确切 的 定义 ， 对 应 着 因特网 上 常见 的 一 些 服务 ， 每 一 个 
打开 的 此 类 端口 ， 都 代表 一 个 系统 服务 ， 如 80 端口 就 代表 Web 服务 ，21 端口 对 应 着 FTP， 
25 端口 对 应 着 SMTP，110 端口 对 应 着 POP3 等 。 

2. 动态 端口 (从 1024 到 65535) 


当 本 机 需要 与 别人 通信 时 ，Windows 会 从 1024 起 ， 在 本 机 上 分 配 一 个 动态 端口 ， 如 果 


1024 端口 未 关闭 ， 再 需要 端口 时 就 会 分 配 1025 端口 供用 户 使 用 ， 依 此 类 推 。 
但 是 有 个 别 的 系统 服务 会 绑 定 在 1024 到 49151 的 端口 上 , 如 3389 端口 (远程 终端 服务 )。 
从 49152 到 65535 这 一 段 端口 , 通常 没有 捆绑 系统 服务 , 允许 Windows 动态 分 配给 用 户 使 用 。 


19.4.2 ”如 何 查看 本 机 开放 了 哪些 端口 


在 默认 状态 下 ，Windows 会 打开 很 多 “服务 端口 ”， 如 果 用 户 想 查看 本 机 打开 了 哪些 端 
口 、 有 哪些 电脑 正在 与 本 机 连接 ， 可 以 使 用 以 下 两 种 方法 。 


1. 利用 netstat 命令 


Windows 提供 了 netstat 命令 ， 能 够 显示 当前 的 TCP/IP 网 络 连接 情况 ， 注 意 ; 只 有 安装 
了 TCP/IP 协议 ， 才 能 使 用 netstat 命令 。 

如 果 在 DOS 窗口 中 输入 了 netstat -nab 命令 , 还 将 显示 每 个 连接 都 是 由 哪些 程序 创建 的 。 
如 果 发 现 本 机 打开 了 可 疑 的 端口 ， 就 可 以 用 该 命令 察看 它 调 用 了 哪些 组 件 ， 然 后 再 检查 各 组 
件 的 创建 时 间 和 修改 时 间 ， 如 果 发 现 异常 ， 就 可 能 是 中 了 木马 。 


2. 使 用 端口 监视 类 软件 


与 netstat 命令 类 似 ， 端 口 监视 类 软件 也 能 查看 本 机 打开 了 哪些 端口 。 这 类 软件 非常 多 ， 
著名 的 有 Tcpview、Port Reporter、 绿 鹰 PC 万 能 精灵 、 网 络 端口 查看 器 等 。 


19.4.3 ”关闭 本 机 不 用 的 端口 


默认 情况 下 Windows 有 很 多 端口 是 开放 的 ， 黑 客 可 以 通过 这 些 端口 连 上 用 户 的 电脑 , 因 
此 用 户 应 该 封闭 这 些 端口 。 主 要 有 : TCP139、445、593、1025 端口 和 UDP123、137、138、 
445、1900 端口 、 一 些 流行 病毒 的 后 门 端口 如 TCP 2513、2745、3127、6129 端口 )， 以 及 远 
程 服务 访问 端口 3389。 


1. 137、138、139、445 端口 


它们 都 是 为 共享 而 开放 的 ， 用 户 应 该 禁止 别人 共享 自己 的 机 器 ， 所 以 要 把 这 些 端 口 全 部 
关闭 ， 方 法 是 : 单 击 “ 开 始 ” 按 钮 ， 选 择 “ 控 制 面板 ”|“ 系 统 ”|“ 硬 件 ”|“ 设 备 管理 器 ” 
命令 ， 在 打开 的 “设备 管理 器 “窗口 中 选择 “查看 ”菜单 下 的 “显示 隐藏 的 设备 ”命令 ， 双 
击 “ 非 即 插 即 用 驱动 程序 ”选项 , 找到 并 双击 NetBios over Tcpip, 在 打开 的 “NetBios over Tcpip 
属性 ”窗口 中 ， 选 中 “常规 ”选项 卡 中 的 “不 要 使 用 这 个 设备 ”选项 ， 单 击 “ 确 定 ” 按 钮 后 
重新 启动 后 即 可 。 
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2. 关闭 UDP123 端口 

单 击 “ 开 始 ”按钮 ， 选 择 “ 设 置 ”|“ 控 制 面板 ”命令 双击“ 管理 工具 ”选项 ， 然 后 在 
打开 的 “管理 工具 ”中 双击 “服务 ”选项 ， 停 止 Windows Time 服务 即 可 。 关 闭 UDP 123 端 
口 ， 可 以 防范 某 些 蠕虫 病毒 。 

3. 关闭 UDP1900 端口 


在 控制 面板 中 双击 “管理 工具 ”选项 ， 然 后 在 打开 的 “管理 工具 ”中 双击 “服务 ”选项 ， 
停止 SSDP Discovery Service 服务 即 可 。 关 闭 这 个 端口 ， 可 以 防范 DDoS 攻击 。 


4. 其 他 端口 


用 户 可 以 用 网 络 防火 墙 来 关闭 ， 或 者 在 “控制 面板 ”中 ， 双 击 “ 管 理工 具 ” 选 项 ， 然 后 
在 打开 的 “管理 工具 ”中 双击 “本 地 安全 策略 ”选项 ， 选 中 “IP 安全 策略 ， 在 本 地 计算 机 ” 
选项 ， 创 建 PP 安全 策略 来 关闭 。 


19.4.4 ” 重 定向 本 机 默认 端口 保护 系统 安全 


如 果 本 机 的 默认 端口 不 能 关闭 ， 管 理 员 应 该 将 它 “ 重 定向 ”。 把 该 端口 重 定向 到 另 一 个 
地 址 ， 这 样 即 可 隐藏 公认 的 默认 端口 ， 降 低 受 破坏 机 率 ， 保 护 系统 安全 。 


19.5 ”网 络 安全 概述 


网 络 安全 从 本 质 上 讲 就 是 网 络 上 的 信息 安全 。 它 是 一 门 涉 及 计算 机 科学 、 网 络 技术 、 通 
信 技 术 、 密 码 技术 、 信 息 安全 技术 、 应 用 数学 、 数 论 、 信 息 论 等 多 种 学 科 的 综合 性 学 科 。 它 
主要 指 网 络 系统 中 的 硬件 、 软 件 及 其 中 的 数据 受到 保护 ， 不 因 偶然 的 或 者 恶意 的 原因 而 遭 到 
破坏 。 从 广义 上 来 说 ， 凡 是 涉及 到 网 络 上 信息 的 保密 性 、 完 整 性 、 可 用 性 、 真 实 性 和 可 控 性 
的 相关 技术 和 理论 都 是 网 络 安全 的 研究 领域 。 

在 现 有 的 网 络 环境 中 ， 由 于 使 用 了 不 同 的 操作 系统 、 不 同 厂家 的 硬件 平台 ， 因 而 网 络 安 
全 是 一 个 很 复杂 的 问题 ， 其 中 有 技术 性 和 管理 上 的 诸多 原因 。 一 个 好 的 安全 的 网 络 应 该 由 主 
机 系统 、 应 用 和 服务 、 路 由 、 网 络 、 安 全 设备 、 网 络 管理 和 管理 制度 等 因素 决定 。 

随 着 计算 机 技术 的 飞速 发 展 ， 信 息 网 络 已 经 成 为 社会 发 展 的 重要 保证 。 信 息 网 络 涉及 到 
国家 的 政府 、 军 事 、 文 教 等 诸多 领域 ， 其 中 存储 、 传 输 和 处 理 的 信息 有 许多 是 政府 宏观 控制 
决策 、 商 业经 济 信息 、 银 行 资金 转帐 、 股 票证 券 、 能 源 资源 数据 和 科研 数据 等 重要 信息 。 其 
中 有 许多 是 敏感 信息 ,甚至 是 国家 秘密 ， 所 以 难免 会 有 来 自 世界 各 地 的 各 种 人 为 攻击 (如 信息 
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泄漏 、 信 息 窃 取 、 数 据 算 改 、 数 据 增删 、 计 算 机 病毒 等 )。 同 时 ， 网 络 实体 还 要 经 受 如 水 灾 、 
火灾 、 地 震 、 电 磁 辐 射 等 方面 的 考验 。 因 此 ， 网 络 安全 防范 对 系统 管理 员 来 说 是 非常 重要 的 。 
根据 一 般 经 验 ， 网 络 安全 涉及 以 下 几 个 方面 : 首先 是 网 络 硬件 ， 即 网 络 的 实体 ;其 次 是 


网 络 操作 系统 ， 即 对 网 络 硬件 的 操作 与 控制 ， 再 次 就 是 网 络 中 的 应 用 程序 。 有 了 这 3 方面 的 
安全 维护 也 就 足够 了 。 但 事实 上 , 这 种 分 析 和 归纳 是 不 完整 和 不 全 面 的 。 在 应 用 程序 的 背后 ， 
还 隐藏 着 大 量 的 数据 ， 作 为 对 前 者 的 支持 ， 这 些 数 据 的 安全 性 问题 也 应 被 考虑 在 内 。 同 时 ， 
还 有 最 重要 的 一 点 ， 即 无 论 是 网 络 本 身 还 是 操作 系统 与 应 用 程序 ， 它 们 最 终 都 是 由 人 来 操作 
的 ， 所 以 还 有 一 个 重要 的 安全 问题 就 是 用 户 的 安全 性 。 

在 考虑 网 络 安全 问题 时 ， 应 该 考虑 以 下 5 个 方面 的 问题 。 

(1) 网 络 是 否 安全 。 

(2) 操作 系统 是 否 安 全 。 

(3) 用 户 是 否 安全 。 

(4) 应 用 程序 是 否 安全 。 

(5) 数据 是 否 安全 。 

概括 来 说 ， 网 络 安全 具有 表 19-1 所 描述 的 体系 结构 。 


表 19-1_ 网 络 安全 5 层 体 系 


应 用 和 保密 性 
应 用 群体 


加 密 
| | 扫 权 
单机 本 好 

反 病 毒 入 侵 检测 
Lo 


目前 ,这 5 个 层次 的 网 络 系统 安全 体系 理论 已 得 到 了 国际 网 络 安全 界 的 广泛 承认 和 支持 ， 
许多 网 络 安全 产品 均 应 用 了 这 一 安全 体系 理论 。 下 面 就 对 每 一 层 的 安全 问题 做 简单 的 阐述 和 
分 析 。 
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19.6 网络 安 全 防范 体系 


全 方位 的 、 整体 的 网 络 安全 防范 体系 也 是 分 层次 的 , 不 同 的 层次 反映 了 不 同 的 安全 问题 ， 
根据 网 络 的 应 用 现状 情况 和 网 络 的 结构 ， 安 全 防范 体系 的 层次 可 以 划分 为 物理 层 安全 、 系 统 
层 安全 、 网 络 层 安 全 、 应 用 层 安 全 和 安全 管理 5 个 层次 ， 如 图 19-9 所 示 。 


大 | 
Ee 


Vindows 


图 19-9 网络 安 全 防范 体系 层次 


1. 物理 环境 的 安全 性 (物理 层 安全 ) 


该 层次 的 安全 包括 通信 线路 的 安全 、 物 理 设备 的 安全 和 机 房 的 安全 等 。 物 理 层 的 安全 主 
要 体现 在 通信 线路 的 可 靠 性 (如 线路 备份 、 网 管 软件 、 传 输 介质 )、 软 硬件 设备 安全 性 (如 蔡 换 
设备 、 拆 卸 设备 、 增 加 设备 )、 设 备 的 备份 、 防 灾害 能 力 、 防 干扰 能 力 、 设 备 的 运行 环境 (如 
温度 、 湿 度 、 烟 尘 )、 不 间断 电源 保障 等 。 

2. 操作 系统 的 安全 性 (系统 层 安 全 ) 


该 层次 的 安全 问题 来 自 网 络 内 使 用 的 操作 系统 的 安全 ,如 Windows NT、Windows 2000、 
Windows XP 等 。 主 要 表现 在 3 个 方面 : 一 是 操作 系统 本 身 的 缺陷 所 带 来 的 不 安全 因素 ， 主 
要 包括 身份 认证 、 访 问 控制 和 系统 漏洞 等 ， 二 是 对 操作 系统 的 安全 配置 问题 ， 三 是 病毒 对 操 
作 系 统 的 威胁 。 

3. 网 络 的 安全 性 (网 络 层 安 全 ) 

该 层次 的 安全 问题 主要 体现 在 网 络 方面 的 安全 性 ， 包 括 网 络 层 身份 认证 、 网 络 资源 的 访 
问 控制 、 数 据 传 输 的 保密 与 完整 性 、 远 程 接 入 的 安全 、 域 名 系统 的 安全 、 路 由 系统 的 安全 、 
入 侵 检测 的 手段 和 网 络 设施 防 病毒 等 。 

4. 应 用 的 安全 性 (应 用 层 安 全 ) 


该 层次 的 安全 问题 主要 由 提供 服务 所 采用 的 应 用 软件 和 数据 的 安全 性 产生 ， 主 要 包括 
Web 服务 、 电 子 邮 件 系统 和 DNS 等 ， 此 外 ， 还 包括 病毒 对 系统 的 威胁 。 


5. 管理 的 安全 性 (管理 层 安全 ) 

安全 管理 包括 安全 技术 和 设备 的 管理 、 安 全 管理 制度 、 部 门 与 人 员 的 组 织 规则 等 。 管 理 
的 制度 化 极 大 程度 地 影响 着 整个 网 络 的 安全 ， 严 格 的 安全 管理 制度 、 明 确 的 部 门 安全 职责 划 
分 、 合 理 的 人 员 和 角色 配置 都 可 以 在 很 大 程度 上 降低 其 他 层次 的 安全 漏洞 。 


19.7 网络 安全 风险 种 类 


19.7.1 与 人 有 关 的 风险 


与 人 有 关 的 风险 包括 以 下 内 容 。 


入 侵 者 或 攻击 者 利用 社会 工程 或 窥探 获取 用 户口 令 。 

网 络 管理 员 在 文件 服务 器 上 不 正确 地 创建 或 配置 用 户 ID、 工 作 组 以 及 它们 的 相关 权 
力 ， 导 致 文件 和 注册 路 径 易 受 攻击 。 

网 络 管理 员 忽视 了 拓扑 连接 中 硬件 配置 中 的 安全 漏洞 。 

网 络 管理 员 忽视 了 操作 系统 或 应 用 配置 中 的 安全 漏洞 。 

由 于 对 安全 政策 缺乏 适当 的 提供 和 通信 ， 导 致 文件 或 网 络 路 径 的 蓄意 的 、 或 者 无 意 
的 误 用 。 

不 忠 或 不 满 的 员工 滥用 他 们 的 访问 权限 。 

一 台 闲 置 的 计算 机 或 终端 依然 进入 网 络 ， 这 就 为 入 侵 者 提供 了 一 个 入 口 。 

用 户 或 管理 员 选 择 了 易于 猜 出 的 口令 。 

经 授权 的 员工 离开 机 房 时 未 锁 门 ， 使 得 未 经 授权 的 人 员 得 以 进入 。 

员工 将 磁盘 或 备份 磁带 丢弃 在 公共 的 垃圾 简 内 。 

管理 员 忘记 消除 已 离开 公司 的 职员 的 访问 和 文件 权力 。 

由 于 利用 人 为 错误 是 破坏 网 络 安全 的 最 容易 的 方法 ， 所 以 人 为 错误 才 会 造成 如 此 之 
多 的 安全 缺口 。 


19.7.2 与 硬件 和 网 络 设 计 有 关 的 风险 


与 硬件 和 网 络 设计 有 关 的 风险 主要 指 的 是 OSI 模型 第 1、2 层 ， 即 物理 层 和 数据 链 路 层 
所 带 来 的 安全 风险 。 传 输 介质 、 网 络 接口 卡 、 集 线 器 、 网 络 方法 (如 以 太 网 ) 以 及 拓扑 结构 都 
在 这 些 层 上 。 在 这 些 层 中 ， 安 全 破坏 事件 所 要 求 的 技术 性 要 比 那些 利用 人 为 错误 的 事件 高 得 
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多 。 以 下 风险 为 网 络 硬件 和 网 络 设计 所 固有 的 。 
。 无 线 传输 能 被 窃听 (而 基于 光纤 的 传输 则 不 会 )。 
e 使 用 租赁 线路 的 网 络 易于 受到 窃听 ， 如 VPN 通过 互联 网 。 
。 集线器 对 全 数据 段 传输 进行 广播 ， 这 使 得 传输 数据 更 广泛 地 易 受 窃听 (相反 地 ， 交 换 
设备 提供 点 对 点 的 通信 ， 这 就 限制 了 数据 传输 地 与 发 送 和 接收 节点 的 可 获取 性 )。 
e 如 果 闲 置 的 集线器 、 路 由 器 或 者 服务 器 端口 没有 失效 ， 它 们 就 可 能 被 黑客 利用 和 访 
问 。 一 个 可 由 Telnet 访问 的 路 由 器 配置 端口 不 够 安全 。 
e 如 果 路 由 器 未 被 适当 配置 以 标志 内 部 子 网 ,外 部 网 络 (如 互联 网 ) 的 用 户 就 可 以 读 到 私 
人 地 址 。 
。 ”连接 在 网 络 设备 上 的 调制 解 调 器 可 能 是 用 于 接收 进入 呼叫 ， 如 果 未 做 适当 的 防护 ， 
它们 也 打开 了 安全 漏洞 。 
e 由 电信 或 者 远程 用 户 使 用 的 拨号 访问 服务 器 ， 可 能 没有 被 仔细 地 进行 安全 处 理 和 
监视 。 
。 载 有 非常 敏感 数据 的 计算 机 可 能 与 向 公众 开放 的 计算 机 同 在 一 个 子 网 中 。 
尽管 安全 破坏 事件 较 少 发 生 在 OSI 模型 的 低层 ， 可 是 它们 确实 也 有 发 生 ， 并 且 同 样 具 有 
破坏 力 。 设 想 一 名 黑客 想 要 使 一 所 大 学 图 书馆 的 数据 库 和 邮件 服务 器 停机 ， 因 为 这 所 大 学 图 
书馆 的 数据 库 是 公开 的 并 且 可 被 网 上 的 任何 人 查询 。 这 名 黑客 将 通过 搜索 数据 库 服 务 器 的 端 
口 来 确定 哪 一 个 未 受 保护 。 如 果 数据 库 服务 器 上 存在 一 个 开放 端口 ， 那 么 ， 他 就 可 以 连接 上 
系统 并 且 放 置 一 个 攻击 程序 ， 这 个 程序 将 在 几 天 后 ， 损 毁 操 作 系 统 文件 ， 或 者 引起 登录 信息 
传输 混乱 ， 从 而 使 机 器 停止 工作 。 他 可 能 还 会 利用 新 发 现 的 访问 路 径 来 确定 系统 的 超级 口令 ， 
以 访问 其 他 的 系统 ， 在 图 书馆 与 数据 库 服务 器 相连 的 邮件 服务 上 放置 同样 的 攻击 程序 。 在 这 
种 方法 下 ， 甚 至 服务 器 上 一 个 很 小 的 错误 (未 保护 一 个 开放 端口 ) 都 可 能 导致 多 个 系统 的 失败 。 


19.7.3 与 协议 和 软件 有 关 的 风险 


与 硬件 一 样 ， 网 络 软件 的 安全 性 也 取决 于 它 的 配置 情况 。OSI 参考 模型 的 高 层 ， 如 传输 
层 、 会 话 层 、 表 示 层 ， 以 及 应 用 层 同样 可 以 带 来 风险 。 正 如 前 面 所 指出 的 一 样 ， 硬 件 和 软件 
风险 之 间 的 差别 有 些 模 糊 ， 因 为 协议 风险 和 硬件 风险 是 前 后 相继 的 。 以 下 是 与 网 络 协议 和 软 
件 有 关 的 一 些 风险 。 

e TCP/IP 包括 的 安全 漏洞 , 如 下 地 址 可 以 被 轻易 伪造 、 校 验 和 欺骗 、UDP 无 需 认证 以 

及 TCP 只 要 求 非常 简单 的 认证 。 

。 服务 器 之 间 的 信任 连接 使 得 黑客 可 能 由 一 个 小 漏洞 而 得 以 访问 整个 网 络 。 

。 网 络 操作 系统 软件 通常 包含 “后 门 ”或 者 安全 漏洞 。 除 非 网 络 管理 员 进 行 定期 更 新 ， 

否则 黑客 就 能 够 利用 这 些 漏洞 。 


1 全 


e 如 果 网 络 操作 系统 允许 服务 器 操作 者 退出 到 DOS 提示 符 方 式 ， 那 么 入 侵 者 就 可 以 运 
行 毁 灭 性 的 命令 行程 序 。 

e 管理 员 在 安装 完 操作 系统 或 应 用 程序 之 后 ， 可 能 会 接受 默认 的 安全 选项 。 通 常情 况 
下 ， 默 认 不 是 最 优 的 ， 例 如 ， 在 Windows 服务 器 上 能 够 对 系统 进行 任意 修改 的 默认 
用 户 ID 称 为 “Administrator”。 由 于 这 个 默认 是 众所周知 的 ， 如 果 将 默认 ID 设置 为 

“Administrator”， 就 已 经 向 黑客 提供 了 一 半 的 信息 。 
e 在 应 用 程序 之 间 的 事务 处 理 ， 如 数据 库 与 基于 Web 的 表格 之 间 可 能 为 窃听 留 下 空间 。 


19.7.4 与 Internet 访问 有 关 的 风险 


新 的 与 Intemet 有 关 的 威胁 层出不穷 ,一 般 的 与 Intemet 有 关 的 安全 破坏 事件 包括 以 下 内 容 。 

e 防火 墙 设置 不 当 ， 没 有 足够 的 防护 作用 ， 例 如 ， 它 可 能 会 允许 外 来 者 获得 内 部 瑟 地 
址 ， 利 用 这 些 地 址 去 假装 已 经 获得 了 由 Intemet 访问 网 络 的 授权 ， 这 个 过 程 称 为 他 
欺骗 :或 者 防火 墙 没 有 被 正确 配置 ， 不 能 防止 未 经 授权 的 数据 包 从 外 界 进入 LAN。 
正确 设置 防火 墙 是 使 内 部 LAN 免 受 攻击 的 最 佳 方法 之 一 。 

。 当 用 户 通过 Intemet Telnet 或 者 FTP 连接 到 公司 站 点 的 ， 用 户 ID 和 口令 将 以 纯 文本 
方式 进行 传递 。 任何 监视 网 络 的 人 都 可 窥探 到 用 户 ID 和 口令 , 并 用 它 来 访问 系统 。 

。 黑客 可 能 会 由 工作 组 、 邮 件 列表 或 者 用 户 在 网 上 填写 的 表格 得 知 用 户 ID 的 信息 。 

。 当 用 户 连接 到 Intemet 聊天 室 时 ， 他 们 可 能 受到 其 他 Intemet 用 户 的 攻击 ， 其 他 用 户 可 以 
向 他 们 的 机 器 发 送 非 法 命令 ， 使 得 屏幕 上 充满 了 无 用 的 字符 ， 并 且 要 求 他 们 终止 会 话 。 

。 当 黑 客 通过 Intemet 入 侵 系统 后 ， 可 能 会 放置 “拒绝 服务 ”攻击 。 拒 绝 服务 攻击 在 系 
统 因 信息 泛滥 或 者 其 他 干扰 而 失效 时 发 生 ， 这 种 攻击 是 一 种 相对 容易 放置 的 攻击 。 
例如 ， 黑 客 可 以 创建 一 个 循环 程序 ， 每 分 钟 向 用 户 系统 发 送 数 以 千 计 的 电子 邮件 。 
这 个 问题 最 简单 的 解决 办 法 就 是 关闭 被 攻击 的 服务 器 ， 然 后 重新 设置 防火 墙 拒 绝对 
进攻 机 器 的 服务 。 拒 绝 服务 攻击 也 可 能 由 发 生 故 障 的 软件 造成 。 因 此 ， 对 服务 器 的 
操作 和 应 用 程序 使 用 补丁 ， 以 及 研究 零售 商 的 升级 声明 ， 定 期 进行 升级 ， 对 于 维护 
网 络 安全 是 至 关 重 要 的 。 


19.8 ”网络 攻击 手段 


进行 网 络 攻击 的 不 法 分 子 使 用 的 攻击 行为 包括 : 在 未 经 授权 访问 的 条 件 下 ， 获 得 对 数据 
的 访问 权限 ， 对 正常 通过 网 络 系统 的 数据 流 实施 修改 或 破坏 ， 并 以 此 达到 破坏 正常 操作 的 目 
的 ;向 网 络 系统 中 注入 假 的 或 伪造 的 信息 。 在 实际 的 网 络 攻击 手段 中 ， 可 以 满足 上 述 攻击 行 
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D3 
为 的 政 击 手段 有 很 多 ， 归 纳 起 来 主要 有 以 下 几 种 。 
1. 截获 (或 阻 断 ) 


这 种 网 络 攻击 手段 通过 对 网 络 传输 过 程 中 的 通信 数据 进行 截取 ， 以 便 阻 止 通信 数据 的 正 
常 传输 ,从 而 破坏 信息 的 可 用 性 。 截获 主要 是 针对 网 络 信息 的 可 用 性 而 采取 的 网 络 攻击 手段 。 

2. 窃听 

在 这 种 网 络 攻击 手段 中 ， 某 一 通信 数据 在 网 络 传输 过 程 中 被 非法 窃听 ， 从 而 使 不 法 分 子 
知道 从 信 源 发 出 至 信 宿 的 机 密 信息 。 窃 听 主 要 是 针对 网 络 信息 的 机 密 性 而 进行 的 攻击 。 

3. 修改 

这 可 能 是 一 种 最 复杂 的 网 络 攻击 手段 ， 它 涉及 到 中 断 数据 信号 、 修 改 数据 ， 然 后 再 将 数 
据 重 新 发 送 到 原来 的 信 宿 等 不 同 的 操作 过 程 。 修 改 主要 是 针对 网 络 信息 的 数据 完整 性 而 进行 
的 攻击 。 

4. 伪造 

在 这 种 网 络 攻击 手段 中 ， 传 输 到 信 宿 的 数据 不 是 由 本 来 的 信 源 发 出 的 ， 而 是 其 他 不 法 分 
子 伪造 并 发 送 到 信 宿 的 。 伪 造 主要 是 针对 网 络 信息 的 真实 性 而 进行 的 一 种 攻击 。 

5. 重播 ( 重 发 ) 

在 这 种 网 络 攻击 手段 中 ， 不 法 分 子 通过 截获 某 次 合法 的 通信 数据 并 进行 数据 复制 ， 再 把 
拷贝 后 的 数据 多 次 重新 发 送 到 网 络 系统 中 ， 从 而 影响 信 宿 的 正常 工作 。 

6. 业务 否认 

业务 否认 是 针对 网 络 信息 不 可 否认 的 网 络 安全 特性 而 进行 的 一 种 攻击 行为 , 它 往往 与 其 他 
的 网 络 攻击 手段 (如 与 伪造 、 修 改 等 ) 结 合 起 来 一 起 实施 ， 以 实现 其 作案 之 后 便 逃 之 天 天 的 目的 。 

接 下 来 将 为 读者 介绍 常见 网 络 攻击 手段 ， 并 且 针对 这 些 网 络 攻击 的 手段 给 以 详细 的 分 析 。 


前 面 介绍 了 网 络 攻击 的 主要 方式 ， 事 实 上 ， 网 络 攻击 的 手段 多 种 多 样 ， 要 想 有 效 地 防范 
网 络 攻击 ， 还 要 具体 了 解 网 络 攻击 的 手段 。 


19.8.1 拒绝 服务 攻击 (DOS) 


拒绝 服务 攻击 是 计算 机 网 络 中 最 常见 的 攻击 方式 之 一 , 它 主要 利用 TCP/IP 协议 中 的 TCP 
SYN 来 实现 。 一 般 情况 下 ， 一 个 TCP 连接 的 建立 需要 经 过 以 下 3 次 握手 的 过 程 。 

e 建立 发 起 者 向 目标 计算 机 发 送 一 个 TCP SYN 报 文 。 

e 目标 计算 机 收 到 这 个 SYN 报 文 之 后 ， 在 内 存 中 创建 TCP 连接 控制 块 (TCB)， 然 后 向 
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发 起 者 返回 一 个 TCP ACK 报 文 ， 等 待 发 起 者 的 回应 。 
e 发 起 者 收 到 TCP ACK 报 文 后 ， 再 回应 一 个 ACK 报 文 ， 这 样 ，TCP 连接 就 建立 起 
来 了 。 
利用 这 个 过 程 ， 一 些 恶意 的 攻击 者 可 以 进行 所 谓 的 TCP SYN 拒绝 服务 攻击 ， 所 使 用 的 
攻击 方法 如 下 。 
e 攻击 者 向 目标 计算 机 发 送 一 个 TCP SYN 报 文 。 
e 目标 计算 机 收 到 这 个 报 文 后 ， 建 立 TCP 连接 控制 结构 (TCB)， 并 回应 一 个 ACK， 等 
待 发 起 者 的 回应 。 
。 发 起 者 不 向 目标 计算 机 回应 ACK 报 文 ， 这 样 即 可 导致 目标 计算 机 一 致 处 于 等 待 状态 。 
可 以 看 出 ， 目 标 计 算 机 如 果 接 收 到 大 量 的 TCP SYN 报 文 ， 而 没有 收 到 发 起 者 的 第 3 次 
ACK 回应 ， 将 会 一 直 在 等 待 ， 处 于 这 样 尴 众 状 态 的 半 连 接 如 果 很 多 ， 则 会 把 目标 计算 机 的 资 
源 (TCB 控制 结构 ，TCB 一 般 情 况 下 是 有 限 的 ) 耗 尽 ， 而 无 法 响应 正常 的 TCP 连接 请 求 。 


19.8.2 泛 洪 攻击 


在 正常 情况 下 ， 为 了 对 网 络 进行 诊断 ， 一 些 诊断 程序 (如 ping 等 ) 会 发 出 ICMP 响应 请 求 

报 文 ICMP ECHO)， 接 收 计算 机 接收 到 ICMP ECHO 之 后 ， 会 回应 一 个 ICMP ECHO Reply 
报 文 。 这 个 过 程 是 需要 CPU 进行 处 理 的 ， 有 的 情况 下 还 可 能 消耗 掉 大 量 的 资源 ， 如 处 理 分 片 
时 。 这 样 ， 如 果 攻 击 者 向 目标 计算 机 发 送 大 量 的 ICMP ECHO 报 文 (产生 ICMP 洪水 )， 目 标 
计算 机 将 会 忙于 处 理 这 些 ECHO 报 文 ， 而 无 法 继续 处 理 其 他 的 网 络 数据 报 文 ， 这 也 是 一 种 拒 
绝 服务 攻击 (DOS)。 
另 一 种 攻击 方式 是 ， 一 个 恶意 的 攻击 者 把 ECHO 的 源 地 址 设置 为 一 个 广播 地 址 ， 这 样 ， 
计算 机 在 恢复 REPLY 的 时 候 ， 就 会 以 广播 地 址 为 目的 地 址 ， 因 此 ， 本 地 网 络 上 所 有 的 计算 
机 都 必须 处 理 这 些 广播 报 文 。 如 果 攻 击 者 发 送 的 ECHO 请 求 报 文 足够 多 ， 所 产生 的 REPLY 
广播 报 文 就 可 能 把 整个 网 络 淹没 ， 这 就 是 所 谓 的 Smurf 攻击 。 除 了 把 ECHO 报 文 的 源 地 址 设 
置 为 广播 地 址 外 ， 攻 击 者 还 可 能 把 源 地 址 设置 为 一 个 子 网 广播 地 址 ， 这 样 ， 该 子 网 所 在 的 计 
算 机 就 可 能 受到 影响 。 

原理 与 ICMP 洪水 类 似 ， 攻 击 者 也 可 以 通过 发 送 大 量 的 UDP 报 文 到 目标 计算 机 ， 导 致 
目标 计算 机 忙于 处 理 这 些 UDP 报 文 而 无 法 继续 处 理 正常 的 报 文 。 


19.8.3 ”端口 扫描 


根据 TCP 协议 规范 ， 当 一 台 计 算 机 收 到 一 个 TCP 连接 建立 请 求 报 文 (TCP SYN) 时 ， 计 
算 机 将 做 以 下 的 处 理 。 
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e ”如 果 请 求 的 TCP 端口 是 开放 的 ， 则 回应 一 个 TCP ACK 报 文 ， 并 建立 TCP 连接 控制 
结构 (TCB)。 

e 如 果 请 求 的 TCP 端口 没有 开放 ， 则 回应 一 个 TCP RST(TCP 头 部 中 的 RST 标志 被 设 
置 为 1) 报 文 ， 通 知 发 起 计算 机 该 端口 没有 开放 。 

相应 地 ， 如 果 下 协议 栈 收 到 一 个 UDP 报 文 ， 将 会 做 如 下 处 理 。 

e 如 果 该 报 文 的 目标 端口 开放 ， 则 把 该 UDP 报 文 发 送 到 上 层 协议 (UDP) 进 行 处 理 ， 不 


本 应 任何 报 文 (上 层 协议 根据 处 理 结果 而 回应 的 报 文 例外 )。 


e 如 果 该 报 文 的 目标 端口 没有 开放 ， 则 向 发 起 者 回应 一 个 ICMP 不 可 达 报 文 ， 通 知 发 
起 者 计算 机 的 这 个 UDP 报 文 的 端口 不 可 达 。 
利用 这 个 工作 原理 ， 攻 击 者 计算 机 便 可 以 通过 发 送 合适 的 报 文 ， 判 断 目标 计算 机 哪些 
TCP 或 UDP 端口 是 开放 的 ， 过 程 如 下 。 
e 发 出 端口 号 从 0 开始 依次 递增 的 TCP SYN 或 UDP 报 文 (端口 号 是 一 个 16 比 特 的 数字 ， 
这 样 最 大 为 65535， 数 量 很 有 限 )。 
e 如 果 计 算 机 收 到 了 针对 这 个 TCP 报 文 的 RST 报 文 ， 或 针对 这 个 UDP 报 文 的 ICMP 
不 可 达 报 文 ， 则 说 明 这 个 端口 没有 开放 。 
e。 相反 ， 如 果 收 到 了 针对 这 个 TCP SYN 报 文 的 ACK 报 文 ， 或 者 没有 接收 到 任何 针对 
该 UDP 报 文 的 ICMP 报 文 ， 则 说 明 该 TCP 端口 是 开放 的 ，UDP 端口 可 能 开放 (因为 
有 的 实现 中 可 能 不 回应 ICMP 不 可 达 报 文 ， 即 使 该 UDP 端口 没有 开放 )。 
这 样 继续 下 去 ， 便 可 以 很 容易 地 判断 出 目标 计算 机 开放 了 哪些 TCP 或 UDP 端口， 然后 
针对 端口 的 具体 数字 ， 进 行 下 一 步 攻击 ， 这 就 是 所 谓 的 端口 扫描 攻击 。 


19.8.4 利用 TCP 报 文 的 标志 进行 攻击 


在 TCP 报 文 的 报头 中 ， 有 以 下 几 个 标志 字段 。 
。 SYN: 连接 建立 标志 ，TCP SYN 报 文 就 是 把 该 标志 设置 为 1 来 请 求 建立 连接 。 


® ACK: 


回应 标志 ， 在 一 个 TCP 连接 中 ， 除 了 第 一 个 报 文 (TCP SYN) 外 ， 其 他 的 所 有 


报 文 都 设置 该 字段 ， 作 为 对 上 一 个 报 文 的 回应 。 


结束 标志 ， 当 一 台 计 算 机 接收 到 一 个 设置 了 FIN 标志 的 TCP 报 文 后 ， 将 会 拆 


除 这 个 TCP 连接 。 

。 RST: 复位 标志 ， 当 了 P 协议 栈 接收 到 一 个 目标 端口 不 存在 的 TCP 报 文 时 ， 将 会 回应 
一 个 RST 标志 设置 的 报 文 。 

e PSH: 通知 协议 栈 尽快 把 TCP 数据 提交 给 上 层 程 序 进行 处 理 。 

在 正常 情况 下 ， 任 何 TCP 报 文 都 会 设置 SYN、FIN、ACK、RST 和 PSH 5 个 标志 中 的 


至 少 一 个 标志 ， 


第 一 个 TCP 报 文 (TCP 连接 请 求 报 文 ) 设 置 SYN 标志 ， 后 续 报 文 都 设置 ACK 


1 全 


标志 。 有 的 协议 栈 基 于 这 样 的 假设 : 没有 针对 不 设置 任何 标志 的 TCP 报 文 的 处 理 过 程 , 因此 ， 
这 样 的 协议 栈 如 果 收 到 了 不 符合 规范 的 报 文 时 将 会 月 溃 。 攻 击 者 利用 这 个 特点 对 目标 计算 机 
进行 攻击 。 

例如 ,在 正常 情况 下 ，ACK 标志 在 除了 第 一 个 报 文 之 (SYN 报 文 ) 外 ， 所 有 的 报 文 都 设置 
了 该 标志 ， 包 括 TCP 连接 拆除 报 文 (FIN 标志 设置 的 报 文 )。 但 有 的 攻击 者 却 可 能 向 目标 计算 
机 发 送 设置 了 FIN 标志 却 没有 设置 ACK 标志 的 TCP 报 文 ,这样 可 能 会 导致 目标 计算 机 崩溃 。 

在 正常 情况 下 ，SYN 标志 (连接 请 求 标志 ) 和 FIN 标志 (连接 拆除 标志 ) 不 能 同时 出 现在 一 
个 TCP 报 文 中 。 而 且 RFC 也 没有 规定 卫 协议 栈 如 何 处 理 这 样 的 畸形 报 文 ， 因 此 ， 各 个 操作 
系统 的 协议 栈 在 收 到 这 样 的 报 文 后 的 处 理 方式 各 不 相同 。 攻 击 者 即 可 利用 这 个 特征 ， 通 过 发 送 
SYN 和 FIN 同时 设置 的 报 文 来 判断 操作 系统 的 类 型 ， 然 后 针对 该 操作 系统 进行 进一步 的 攻击 。 


19.8.5 分 片 IP 报 文 攻击 


为 了 传送 一 个 大 的 中 报 文 , PP 协议 栈 需要 根据 链 路 接口 的 MTU 对 该 他 报 文 进行 分 片 , 通 
过 填充 适当 的 中 头 中 的 分 片 指示 字段 ， 接 收 计算 机 可 以 很 容易 地 把 这 些 人 P 分 片 报 文 组 装 起 来 。 

目标 计算 机 在 处 理 这 些 分 片 报 文 时 ， 将 先 到 达 的 分 片 报 文 缓存 起 来 ， 然 后 一 直 等 待 后 续 
的 分 片 报 文 , 这 个 过 程 会 消耗 掉 一 部 分 内 存 以 及 一 些 他 协议 栈 的 数据 结构 。 如 果 攻击 者 给 目 
标 计算 机 只 发 送 一 片 分 片 报 文 ， 而 不 发 送 所 有 的 分 片 报 文 ， 这 样 ， 被 攻击 者 的 计算 机 将 会 一 
直 等 待 (直到 一 个 内 部 计时 器 到 时 )， 如 果 攻 击 者 发 送 了 大 量 的 分 片 报 文 ， 就 会 消耗 掉 目 标 计 
算 机 的 资源 ， 而 导致 不 能 处 理 相 应 正常 的 他 报 文 ， 这 也 是 一 种 DOS 攻击 。 


19.8.6 ” 带 源 路 由 选项 的 IP 报 文 


为 了 实现 一 些 附加 功能 ， 卫 协议 规范 在 人 P 报头 中 增加 了 选项 字段 ， 这 个 字段 可 以 有 选择 
地 携带 一 些 数据 ， 以 指明 中 间 设 备 (路 由 器 ) 或 最 终 目 标 计算 机 对 这 些 人 P 报 文 进行 额外 的 处 理 。 

源 路 由 选项 便 是 其 中 的 一 个 ,从 名 字 就 可 以 看 出 ， 源 路 由 选项 的 目的 是 指导 中 间 设 备 (路 
由 器 ) 如 何 转发 该 数据 报 文 ， 即 明确 指明 了 报 文 的 传输 路 径 。 例 如 ， 让 一 个 人 P 报 文明 确 地 经 
过 3 台 路 由 器 RI、R2 和 R3， 则 可 以 在 源 路 由 选项 中 明确 指明 这 3 个 路 由 器 的 接口 地 址 ， 这 
样 不 论 3 台 路 由 器 上 的 路 由 表 如 何 ， 这 个 IP 报 文 就 会 依次 经 过 RI1、R2 和 R3， 而 且 这 些 带 
源 路 由 选项 的 他 报 文 在 传输 的 过 程 中 ， 其 源 地 址 不 断 改变 ， 目 标 地 址 也 不 断 改变 ， 因 此 ， 通 
过 设置 源 路 由 选项 ， 攻 击 者 便 可 以 伪造 一 些 合法 的 瑟 地 址 而 蒙混 进入 网 络 。 

记录 路 由 选项 也 是 一 个 人 P 选项 ， 携 带 了 该 选项 的 人 P 报 文 每 经 过 一 台 路 由 器 ， 该 路 由 器 
便 把 自己 的 接口 地 址 添加 到 选项 字段 中 。 这 样 ， 这 些 报 文 在 到 达 目 的 地 时 ， 选 项 数据 中 便 记 
录 了 该 报 文 经 过 的 整个 路 径 。 通 过 这 样 的 报 文 可 以 很 容易 地 判断 该 报 文 所 经 过 的 路 径 ， 从 而 
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使 攻击 者 可 以 很 容易 地 寻找 到 其 中 的 攻击 弱点 。 


19.8.7 “IP 地 址 欺骗 


一 般 情况 下 ， 路 由 器 在 转发 报 文 时 ， 只 根据 报 文 的 目的 地 址 查 路 由 表 ， 而 不 管 报 文 的 源 
地 址 是 什么 , 因此 ,这 样 就 可 能 面临 一 种 危险 : 如 果 攻 击 者 向 一 台 目 标 计算 机 发 出 一 个 报 文 ， 
而 把 报 文 的 源 地 址 填写 为 第 三 方 的 卫 地 址 ， 这 样 ， 这 个 报 文 在 到 达 目 标 计 算 机 时 ， 目 标 计 算 
机 有 可 能 向 毫 无 知觉 的 第 三 方 计算 机 进行 回应 ， 这 就 是 所 谓 的 他 地 址 欺骗 攻击 。 

例如 ， 比 较 著 名 的 SQL Server 蠕虫 病毒 ， 就 是 采用 了 这 种 原理 。 该 病毒 (可 以 理解 为 一 
个 攻击 者 ) 向 一 台 运 行 SQL Server 解析 服务 的 服务 器 发 送 一 个 解析 服务 的 UDP 报 文 ， 该 报 文 
的 源 地 址 设置 为 另外 一 台 运 行 SQL Server 解析 程序 (SQL Server 2000 以 后 版 本 ) 的 服务 器 ， 这 
样 ， 由 于 SQL Server 解析 服务 的 一 个 漏洞 ， 就 可 能 使 得 该 UDP 报 文 在 这 两 台 服 务 器 之 间 往 
复 ， 最 终 导 致 服务 器 或 网 络 瘫痪 。 


19.8.8 针对 路 由 协议 的 攻击 


网 络 设备 之 问 为 了 交换 路 由 信息 ， 常 常 需要 运行 一 些 动态 的 路 由 协议 ， 这 些 路 由 协议 可 
以 完成 诸如 路 由 表 的 建立 ， 路 由 信息 的 分 发 等 功能 。 常 见 的 路 由 协议 有 RIP、OSPF、1S-IS 
和 BGP 等 。 这 些 路 由 协议 在 方便 路 由 信息 管理 和 传递 的 同时 ， 也 存在 一 些 缺 陷 , 如 果 攻击 者 
利用 了 路 由 协议 的 这 些 权限 对 网 络 进行 攻击 , 可 能 造成 网 络 设备 路 由 表 素 乱 (这 足 可 以 导致 网 
络 中 断 )， 网络 设备 资源 大 量 消耗 甚至 导致 网 络 设 和 瘫痪。 下 面 列举 一 些 常见 路 由 协议 的 攻 
击 方式 和 原理 。 

1. 针对 RIP 协议 的 攻击 


RIP, 即 路 由 信息 协议 , 是 通过 周期 性 (一 般 情 况 下 为 30s) 的 路 由 更 新 报 文 来 维护 路 由 表 。 
一 台 运 行 RP 路 由 协议 的 路 由 器 ， 如 果 从 一 个 接口 上 接收 到 了 一 个 路 由 更 新 报 文 ， 它 就 会 分 
析 其 中 包含 的 路 由 信息 ， 并 与 自己 的 路 由 表 进行 比较 ， 如 果 该 路 由 器 认为 这 些 路 由 信息 比 自 
己 所 掌握 的 更 有 效 ， 它 就 把 这 些 路 由 信息 引入 自己 的 路 由 表 中 。 

这 样 ， 如 果 一 个 攻击 者 向 一 台 运 行 RIP 协议 的 路 由 器 发 送 了 人 为 构造 的 带 破 坏 性 的 路 由 
更 新 报 文 ， 就 很 容易 把 路 由 器 的 路 由 表 弄 紊乱 ， 从 而 导致 网 络 中 断 。 如 果 运 行 RP 路 由 协议 
的 路 由 器 启用 了 路 由 更 新 信息 的 HMAC 验证 ， 则 可 以 从 很 大 程度 上 避免 这 种 攻击 。 


2. 针对 OSPF 路 由 协议 的 攻击 


OSPF， 即 开放 最 短路 径 优先 , 是 一 种 应 用 广泛 的 链 路 状态 路 由 协议 。 该 路 由 协议 基于 链 
路 状态 算法 , 具有 收敛 速度 快 、 平 稳 、 杜绝 环 路 等 优点 , 十 分 适用 于 大 型 的 计算 机 网 络 。OSPF 


路 由 协议 通过 建立 邻接 关系 来 交换 路 由 器 的 本 地 链 路 信息 ， 然 后 形成 一 个 整个 网 络 的 链 路 状 
态 数据 库 ， 针 对 该 数据 库 ， 路 由 器 即 可 轻易 地 计算 出 路 由 表 。 

可 以 看 出 ， 如 果 一 个 攻击 者 冒充 一 台 合法 路 由 器 与 网 络 中 的 一 台 路 由 器 建立 邻接 关系 ， 
并 向 攻击 路 由 器 输入 大 量 的 链 路 状态 广播 (LSA， 组 成 链 路 状态 数据 库 的 数据 单元 )， 就 会 引 
导 路 由 器 形成 错误 的 网 络 拓扑 结构 ， 从 而 导致 整个 网 络 的 路 由 表率 乱 ， 使 整个 网 络 瘫痪 。 

当前 版 本 的 Windows 操作 系统 (如 Windows 2000、Windows XP 等 ) 都 实现 了 OSPF 路 由 
协议 功能 , 因此 , 一 个 攻击 者 可 以 很 容易 地 利用 这 些 操作 系统 自 带 的 路 由 功能 模块 来 进行 攻击 。 

与 RIP 类 似 ， 如 果 OSPF 启用 了 报 文 验证 功能 (HMAC 验证 )， 则 可 以 从 很 大 程度 上 避免 
这 种 攻击 。 

3. 针对 IS-IS 路 由 协议 的 攻击 


IS-IS 路 由 协议 ， 即 中 间 系 统 到 中 间 系 统 ， 是 ISO 提出 来 对 ISO 的 CLNS 网 络 服务 进行 
路 由 的 一 种 协议 ， 这 种 协议 也 是 基于 链 路 状态 的 ， 原 理 与 OSPF 类 似 。IS-IS 路 由 协议 经 过 扩 
展 ， 可 以 运行 在 人 P 网 络 中 ， 对 外 报 文 进行 路 由 选择 。 这 种 路 由 协议 也 是 通过 建立 邻接 关系 、 
收集 路 由 器 本 地 链 路 状态 的 手段 来 完成 链 路 状态 数据 库 的 同步 。 该 协议 的 邻接 关系 的 建立 比 
OSPF 简单 ， 而 且 也 省 略 了 OSPF 特有 的 一 些 特性 ， 使 该 协议 简单 明了 ， 伸 缩 性 更 强 。 

对 该 协议 的 攻击 与 OSPF 类 似 , 通过 一 种 模拟 软件 与 运行 该 协议 的 路 由 器 建立 邻接 关系 ， 
然后 传送 给 攻击 路 由 器 大 量 的 链 路 状态 数据 单元 (LSP), 可 以 导致 整个 网 络 路 由 器 的 链 路 状态 
数据 库 不 一 致 (因为 整个 网 络 中 所 有 路 由 器 的 链 路 状态 数据 库 都 需要 同步 到 相同 的 状态 )， 从 
而 导致 路 由 表 与 实际 情况 不 符 ， 致 使 网 络 中 断 。 

与 OSPF 类 似 ， 如 果 运 行 该 路 由 协议 的 路 由 器 启用 了 IS-IS 协议 单元 (PDU)HMAC 验证 
功能 ， 则 可 以 从 很 大 程度 上 避免 这 种 攻击 。 


19.8.9 针对 设备 转发 表 的 攻击 


为 了 合理 有 限 地 转发 数据 , 网络 设备 上 一 般 都 建立 有 一 些 寄存 器 表 项 , 如 MAC 地 址 表 、 
ARP 表 、 路 由 表 、 快 速 转发 表 ， 以 及 一 些 基于 更 多 报 文 头 字段 的 表格 ， 如 多 层 交换 表 ， 流 项 
目 表 等 。 这 些 表 结构 都 存储 在 本 地 设备 的 内 存 中 ， 或 者 芯片 的 片上 内 存 中 ， 数 量 有 限 。 如 果 
一 个 攻击 者 通过 发 送 合适 的 数据 报 ， 促 使 设备 建立 大 量 的 此 类 表格 ， 就 会 使 设备 的 存储 结构 
消耗 尽 ， 从 而 不 能 正常 地 转发 数据 甚至 斋 溃 。 

下 面 针对 几 种 常见 的 表 项 ， 介 绍 其 攻击 原理 。 

1. 针对 MAC 地 址 表 的 攻击 


MAC 地 址 表 一 般 存储 在 以 太 网 交换 机 上 ， 以 太 网 通过 分 析 接 收 到 的 数据 帧 的 目的 MAC 
地 址 来 查看 本 地 的 MAC 地 址 表 ， 然 后 作出 合适 的 转发 决定 。 这 些 MAC 地 址 表 一 般 是 通过 
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学 习 获 取 的 ， 交 换 机 在 接收 到 一 个 数据 帧 后 ， 有 一 个 学 习 的 过 程 ， 该 过 程 如 下 。 

e 提取 数据 帧 的 源 MAC 地 址 和 接收 到 该 数据 帧 的 端口 号 。 

。 搜索 MAC 地 址 表 ， 确 定 该 MAC 地 址 是 否 存在 ， 以 及 对 应 的 端口 是 否 相 符合 。 

。 如果 该 MAC 地 址 在 本 地 MAC 地 址 表 中 不 存在 ， 则 创建 一 个 MAC 地 址 表 项 。 

。 如果 该 MAC 地 址 存在 , 但 是 对 应 的 出 端口 与 接收 到 该 数据 帧 的 端口 不 符 , 则 更 新 该 

表 。 

e 如 果 该 MAC 地 址 存在 ， 并 且 端 口 符合 ， 则 进行 下 一 步 处 理 。 

分 析 这 个 过 程 可 以 看 出 ， 如 果 一 个 攻击 者 向 一 台 交 换 机 发 送 大 量 源 MAC 地 址 不 同 的 数 
据 帧 ， 则 该 交换 机 就 可 能 把 本 地 的 MAC 地 址 表 填 满 。 一 旦 MAC 地 址 表 溢 出 ， 则 交换 机 就 
不 能 继续 学 习 正确 的 MAC 表 项 ， 结 果 可 能 产生 大 量 的 网 络 宛 余 数据 ， 甚 至 可 能 导致 交换 机 
骨 溃 。 而 构造 一 些 源 MAC 地 址 不 同 的 数据 帧 ， 是 非常 容易 的 事情 。 


2. 针对 ARP 表 的 攻击 


ARP 表 是 瑟 地 址 和 MAC 地 址 的 映射 关系 表 ， 为 了 避免 ARP 解析 而 造成 的 广播 数据 报 
文 对 网 络 造成 冲击 , 任何 实现 了 了 正 协议 栈 的 设备 ,一 般 情况 下 都 通过 该 表 维护 下地 址 和 MAC 
地 址 的 对 应 关系 。ARP 表 的 建立 主要 通过 以 下 两 个 途径 。 

e 主动 解析 : 如 果 一 台 计算 机 需要 与 另外 一 台 不 知道 MAC 地 址 的 计算 机 进行 通信 ， 则 

该 计算 机 主动 发 送 ARP 请 求 , 通过 ARP 协议 建立 ARP 表 ( 前 提 是 这 两 台 计 算 机 位 于 
同一 个 包子 网 上 )。 

。 被 动 请 求 : 如 果 一 台 计算 机 接收 到 另 一 台 计算 机 的 ARP 请 求 ， 则 首先 在 本 地 建立 请 

求 计算 机 的 下 地址 和 MAC 地 址 的 对 应 表 。 
因此 ， 如 果 一 个 攻击 者 通过 变换 不 同 的 卫 地 址 和 MAC 地 址 向 同一 台 设 备 ( 如 3 层 交 换 
机 ) 发 送 大 量 的 ARP 请 求 ， 则 被 攻击 设备 可 能 会 因为 ARP 缓存 溢出 而 月 省。 

针对 ARP 表 项 ， 还 有 一 个 可 能 的 攻击 就 是 ， 误 导 计 算 机 建立 正确 的 ARP 表 。 根 据 ARP 
协议 ， 如 果 一 台 计 算 机 接收 到 一 个 ARP 请 求 报 文 ,在 满足 下 列 两 个 条 件 的 情况 下 ， 该 计算 机 
会 用 ARP 请 求 报 文中 的 源 瑟 地 址 和 源 MAC 地 址 更 新 自己 的 ARP 缓存 。 

e 如 果 发 起 该 ARP 请 求 的 全 地 址 在 本 地 的 ARP 缓存 中 。 

e 请 求 的 目标 了 P 地址 不 是 本 地 的 。 

可 以 举 一 个 例子 来 说 明 这 个 过 程 ， 假 设 有 3 台 计 算 机 : A、B 和 C， 其 中 ，B 已 经 正确 
建立 了 A 和 C 计算 机 的 ARP 表 项 。 假设 A 是 攻击 者 ， 此 时 ，A 发 出 一 个 ARP 请 求 报 文 ， 
该 请 求 报 文 按照 以 下 步骤 进行 构造 。 

e 源 下 地址 是 C 的 中 地 址 ， 源 MAC 地 址 是 A 的 MAC 地 址 。 

。 请 求 的 目标 全 地 址 是 A 的 他 地 址 。 

这 样 ， 计算机 B 在 接收 到 这 个 ARP 请 求 报 文 后 (ARP 请 求 是 广播 报 文 ， 网 络 上 所 有 设备 


都 能 收 到 ), 发 现 B 的 ARP 表 项 已 经 在 本 地 的 缓存 中 , 但 是 MAC 地 址 与 收 到 的 请 求 的 源 MAC 
地 址 不 符 , 于 是 根据 ARP 协议 , 使 用 ARP 请 求 的 源 MAC 地 址 ( 即 A 的 MAC 地 址 ) 更 新 自己 
的 ARP 表 。 

这 样 ，B 的 ARP 内 存 中 就 存在 这 样 的 错误 ARP 表 项 : C 的 他 地 址 与 A 的 MAC 地 址 对 
应 。 这 样 做 的 结果 是 ，B 发 送 给 C 的 数据 都 被 计算 机 A 接收 到 。 

3. 针对 流 项 目 表 的 攻击 


有 的 网 络 设备 为 了 加 快 转发 效率 ， 建 立 了 所 谓 的 流 缓存 。 所 谓 流 ， 即 一 台 计 算 机 的 某 个 
进程 到 另外 一 台 计 算 机 的 某 个 进程 之 间 的 数据 流 。 如 果 表 现在 TCP/IP 协议 上 ， 则 是 由 ( 源 中 
地 址 、 目 的 卫 地 址 、 协 议 号 、 源 端口 号 和 目的 端口 号 ) 五 元 组 共同 确定 的 所 有 数据 报 文 。 

一 个 流 缓存 表 一 般 由 该 五 元 组 为 索引 ， 每 当 设备 接收 到 一 个 人 P 报 文 后 ， 将 会 首先 分 析 
下 报头 , 把 对 应 的 五 元 组 数据 提取 出 来 ,进行 一 个 HASH 运算 ， 然 后 根据 运算 结果 查找 流 组 
存 ， 如 果 查 找 成 功 ， 则 根据 查找 的 结果 进行 处 理 ， 如 果 查 找 失败 ， 则 新 建 一 个 流 缓存 项 ， 查 
找 路 由 表 , 根据 路 由 表 查 询 结果 将 这 个 流 缓存 填写 完整 ， 然 后 对 数据 报 文 进行 转发 (具体 转发 
是 在 流 项 目 创建 前 还 是 创建 后 并 不 重要 )。 

可 以 看 出 ， 如 果 一 个 攻击 者 发 出 大 量 的 源 他 地 址 或 者 目的 他 地 址 变化 的 数据 报 文 ， 就 
可 能 导致 设备 创建 大 量 的 流 项 目 , 因为 不 同 的 源 瑟 地 址 和 不 同 的 目标 瑟 地 址 对 应 不 同 的 流 。 
这 样 可 能 导致 流 缓存 溢出 。 


19.8.10 ”Script/ActiveX 攻击 


Script 是 一 种 可 执行 的 脚本 , 它 一 般 由 一 些 脚本 语言 写成 , 如 常见 的 Java Script VB Script 
等 。 在 执行 这 些 脚本 时 ， 需 要 一 个 专门 的 解释 器 来 翻译 ， 这 些 程序 被 翻译 成 计算 机 指令 后 ， 
在 本 地 计算 机 上 运行 。 这 种 脚本 的 好 处 是 : 可 以 通过 少量 的 程序 写作 完成 大 量 的 功能 。 

这 种 Script 的 一 个 重要 应 用 就 是 嵌入 到 Web 页 面 里 面 ， 执 行 一 些 静态 Web 页 面 标记 语 
言 (8TML) 无 法 完成 的 功能 ， 如 本 地 计算 、 数 据 库 查询 和 修改 ， 以 及 系统 信息 的 提取 等 。 这 
些 脚本 在 带 来 方便 和 强大 功能 的 同时 ， 也 为 攻击 者 提供 了 方便 的 攻击 途径 。 如 果 攻 击 者 写 一 
些 对 系统 有 破坏 的 Script， 然 后 嵌入 到 Web 页 面 中 ， 一 旦 这 些 页 面 被 下 载 到 本 地 ， 计 算 机 便 
以 当前 用 户 的 权限 执行 这 些 脚本 ， 这 样 ， 当 前 用 户 所 具有 的 任何 权限 ，Script 都 可 以 使 用 ， 
可 以 想象 这 些 恶 意 的 Script 的 破坏 程度 有 多 强 ， 这 就 是 所 谓 的 Script 攻击 。 

ActiveX 是 一 种 控件 对 象 , 它 建立 在 微软 的 组 件 对 象 模型 (COM) 之 上 , 而 COM 则 几乎 是 
Windows 操作 系统 的 基础 结构 。 这 些 控件 对 象 由 方法 和 属性 构成 ， 方 法 就 是 一 些 操作 ， 而 属 
性 则 是 一 些 特定 的 数据 。 这 种 控件 对 象 可 以 被 应 用 程序 加 载 ， 然 后 访问 其 中 的 方法 或 属性 ， 
以 完成 一 些 特定 的 功能 。 可 以 说 ，COM 提供 了 一 种 二 进 制 的 兼容 模型 (所 谓 二 进 制 兼容 ， 指 
的 是 程序 模块 与 调用 的 编译 环境 和 操作 系统 没有 关系 )。 但 需要 注意 的 是 ,这 种 对 象 控件 不 能 
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自己 执行 , 因为 它 没有 自己 的 进程 空间 , 而 只 能 由 其 他 进程 加 载 ， 并 调用 其 中 的 方法 和 属性 ， 
这 时 候 ， 这 些 控件 便 在 加 载 进 程 的 进程 空间 中 运行 ， 类 似 于 操作 系统 的 可 加 载 模块 ， 如 DLL 库 。 

ActiveX 控件 可 以 嵌入 到 Web 页 面 中 ， 当 浏览 器 下 载 这 些 页 面 到 本 地 后 ， 相 应 地 也 下 载 
了 嵌入 在 其 中 的 ActiveX 控件 ， 这 样 ， 这 些 控件 便 可 以 在 本 地 浏览 器 进程 空间 中 进行 运行 
(ActiveX 空间 没有 自己 的 进程 空间 ， 只 能 由 其 他 进程 加 载 并 调用 )， 因 此 ， 当 前 用 户 的 权限 有 
多 大 ，ActiveX 的 破坏 性 便 有 多 大 。 如 果 一 个 恶意 的 攻击 者 编写 一 个 含有 恶意 代码 的 ActiveX 
控件 ， 然后 嵌入 到 Web 页 面 中 ， 当 这 个 ActiveX 控件 被 一 个 浏览 用 户 下 载 并 执行 后 ， 其 破坏 
作用 是 非常 巨大 的 ， 这 就 是 所 谓 的 ActiveX 攻击 。 


19.9 网 络 安全 防范 策略 


安全 策略 概略 说 明 什 么 资产 是 值得 保护 和 什么 行动 或 不 行动 将 威胁 资产 ， 所 以 安全 策略 
是 安全 的 基础 。 策 略 将 会 权衡 预期 的 威胁 对 个 人 的 生产 力 和 效率 的 破坏 程度 ， 根 据 价值 不 同 
确认 保护 水 平 。 安 全 策略 的 制定 是 网 络 安全 的 前 提 ， 网 络 安全 策略 确定 了 结构 中 预期 计算 机 
的 适当 配置 、 使 用 的 网 络 和 用 以 防止 与 回应 安全 事件 程序 。 


19.9.1 物理 安全 策略 


物理 安全 策略 的 目的 是 保护 计算 机 系统 、 网 络 服务 器 、 打 印 机 等 硬件 实体 和 通信 链 路 免 
受 自然 灾害 、 人 为 破坏 和 搭 线 攻 击 ;验证 用 户 的 身份 和 使 用 权限 、 防 止 用 户 越权 操作 ;确保 
计算 机 系统 有 一 个 良好 的 电磁 兼容 工作 环境 ， 建 立 完备 的 安全 管理 制度 ， 防 止 非法 进入 计算 
机 控制 室 和 各 种 偷窃、 破坏 活动 的 发 生 。 

抑制 和 防止 电磁 泄漏 ( 即 TEMPEST 技术 ) 是 物理 安全 策略 的 一 个 主要 问题 。 目 前 主要 的 
防护 措施 有 两 类 : 一 类 是 对 传导 发 射 的 防护 ， 主 要 是 对 电源 线 和 信号 线 加 装 性 能 良好 的 滤波 

减 小 传输 阻抗 和 导线 间 的 交叉 耦合 ， 另 一 类 是 对 辐射 的 防护 ， 这 类 防护 措施 又 可 分 为 两 
种 ， 一 是 采用 各 种 电磁 屏蔽 措施 ， 例 如 对 设备 的 金属 屏蔽 和 各 种 接 插 件 的 屏蔽 ， 同 时 对 机 房 
的 下 水 管 、 暖 气管 和 金属 门窗 进行 屏蔽 和 隔离 ， 二 是 干扰 的 防护 措施 ， 即 在 计算 机 系统 工作 
的 同时 ， 利 用 干扰 装置 产生 一 种 与 计算 机 系统 辐射 相关 的 伪 噪 声 向 空间 辐射 ， 以 掩盖 计算 机 
系统 的 工作 频率 和 信息 特征 。 


19.9.2 访问 控制 策略 


访问 控制 是 网 络 安全 防范 和 保护 的 主要 策略 ， 它 的 主要 任务 是 避免 网 络 资源 被 非法 使 用 


和 非常 访问 ， 它 也 是 维护 网 络 系统 安全 和 保护 网 络 资源 的 重要 手段 。 各 种 安全 策略 必须 相互 
配合 才能 真正 起 到 保护 作用 , 其 中 , 访问 控制 可 以 说 是 保证 网 络 安全 最 重要 的 核心 策略 之 一 。 
以 下 将 分 别 叙 述 各 种 访问 控制 策略 。 

1. 入 网 访问 控制 


入 网 访问 控制 为 网 络 访问 提供 了 第 一 层 访问 控制 。 它 控制 哪些 用 户 可 以 登录 到 服务 器 并 
获取 网 络 资源 ， 控 制 准许 用 户 入 网 的 时 间 和 准许 他 们 在 哪 台 工作 站 入 网 。 

用 户 的 入 网 访问 控制 可 分 为 3 个 步骤 : 用 户 名 的 识别 与 验证 、 用 户口 令 的 识别 与 验证 、 
用 户 帐号 的 默认 限制 检查 。3 道 关 卡 中 只 要 任何 一 关 未 过 ， 该 用 户 便 不 能 进入 该 网 络 。 

对 网 络 用 户 的 用 户 名 和 口令 进行 验证 是 防止 非法 访问 的 第 一 道 防线 。 用 户 注册 时 ， 首 先 
输入 用 户 名 和 口令 ， 服 务 器 将 验证 所 输入 的 用 户 名 是 否 合法 。 如 果 验 证 合法 ， 再 继续 验证 用 
户 输入 的 口令 ;和 否则 ， 用 户 将 被 拒绝 在 网 络 之 外 。 用 户 的 口令 是 用 户 入 网 的 关键 所 在 。 为 保 
证 口令 的 安全 性 ， 用 户口 令 不 能 显示 在 显示 屏幕 上 ， 口 令 长 度 不 应 少 于 6 个 字符 ， 口 令 字符 
最 好 是 数字 、 字 母 和 其 他 字符 的 组 合 ， 用 户口 令 必 须 经 过 加 密 。 用 户 还 可 采用 一 次 性 用 户口 
令 ， 也 可 以 使 用 便携 式 验证 器 (如 智能 卡 ) 来 验证 用 户 的 身份 。 

网 络 管理 员 应 该 可 以 控制 和 限制 普通 用 户 的 帐号 使 用 、 访 问 网 络 的 时 间 和 方式 。 用 户 名 
或 用 户 帐号 是 所 有 计算 机 系统 中 最 基本 的 安全 形式 。 用 户 帐号 只 有 系统 管理 员 才 能 建立 。 用 
户口 令 则 是 每 个 用 户 访问 网 络 所 必须 提交 的 “证 件 ”、 用 户 可 以 修改 自己 的 口令 ， 但 是 系统 
管理 员 应 该 可 以 控制 口令 的 以 下 几 个 方面 的 限制 : 最 小 口令 长 度 、 强 制 修改 口令 的 时 间 间 隔 、 
口令 的 惟一 性 、 口 令 过 期 失效 后 允许 入 网 的 宽 限 次 数 。 

用 户 名 和 口令 验证 有 效 之 后 ， 再 进一步 履行 用 户 帐号 的 默认 限制 检查 。 网 络 应 能 控制 用 
户 登录 入 网 的 站 点 、 限 制 用 户 入 网 的 时 间 、 限 制 用 户 入 网 的 工作 站 数量 。 当 用 户 对 交 费 网 络 
的 访问 “资费 ”用 尽 时 ， 网 络 还 应 当 能 对 用 户 的 帐号 加 以 限制 ， 用 户 此 时 将 无 法 进入 网 络 访 
问 网 络 资源 。 网 络 应 对 所 有 的 用 户 访问 进行 审计 。 如 果 多 次 输入 口令 不 正确 ， 则 认为 是 非法 
用 户 的 入 侵 ， 应 当 给 出 报警 信息 。 


2. 网 络 的 权限 控制 


网 络 的 权限 控制 是 针对 网 络 非法 操作 所 提出 的 一 种 安全 保护 措施 。 用 户 和 用 户 组 被 赋予 
一 定 的 权限 。 网 络 控制 用 户 和 用 户 组 可 以 访问 哪些 目录 、 子 目录 、 文 件 和 其 他 资源 ， 可 以 指 
定 用 户 对 这 些 文件 、 目 录 、 设 备 能 够 执行 哪些 操作 。 受 托 者 指派 和 继承 权限 屏蔽 (RMD 可 作 
为 它 的 两 种 实现 方式 。 受 托 者 指派 控制 用 户 和 用 户 组 如 何 使 用 网 络 服务 器 的 目录 、 文 件 和 设 
备 。 继 承 权限 屏蔽 相当 于 一 个 过 滤器 ， 可 以 限制 子 目录 从 父 目 录 那 里 继承 哪些 权限 。 根 据 访 
问 权限 可 以 将 用 户 分 为 以 下 几 类 : 

e ”特殊 用 户 ( 即 系 统管 理 员 )。 


人 DER 
A / : 


后) 其 纲 管理 上 


e 一 般 用 户 ， 系 统管 理 员 根 据 实际 需要 为 他 们 分 配 操作 权限 。 

e 审计 用 户 ， 负 责 网 络 的 安全 控制 与 资源 使 用 情况 的 审计 ， 用 户 对 网 络 资源 的 访问 权 
限 可 以 用 一 个 访问 控制 表 进 行 描述 。 

3. 目录 级 安全 控制 


网 络 应 当 人 允许 控制 用 户 对 目录 、 文 件 和 设备 的 访问 。 用 户 在 目录 一 级 指定 的 权限 对 所 有 
文件 和 子 目录 都 有 效 ， 用 户 还 可 进一步 指定 目录 下 的 子 目 录 和 文件 的 权限 。 对 目录 和 文件 的 
访问 权限 一 般 有 8 种 : 系统 管理 员 权限 (Supervisor)、 读 权限 (Read)、 写 权限 (Write)、 创 建 权 
限 (Create)、 删 除权 限 (Erase)、 修 改 权 限 (Modify)、 文 件 查 找 权 限 (File Scan) 和 存 取 控制 权限 
(Access Control)。 用 户 对 文件 或 目标 的 有 效 权限 取决 于 以 下 3 个 因素 : 用 户 的 受托 者 指派 、 
用 户 所 在 组 的 受托 者 指派 、 继 承 权限 屏蔽 取消 的 用 户 权限 。 一 个 网 络 系统 管理 员 应 当 为 用 户 
指定 适当 的 访问 权限 ， 这 些 访问 权限 控制 着 用 户 对 服务 器 的 访问 。8 种 访问 权限 的 有 效 组 合 
可 以 使 用 户 有 效 地 完成 工作 ， 同 时 又 能 有 效 地 控制 用 户 对 服务 器 资源 的 访问 ， 从 而 加 强 网 络 
和 服务 器 的 安全 性 。 


4. 属性 安全 控制 


当 使 用 文件 、 目 录 和 网 络 设备 时 ， 网 络 系统 管理 员 应 当 为 文件 、 目 录 等 设置 访问 属性 。 
属性 安全 控制 可 以 将 给 定 的 属性 与 网 络 服务 器 的 文件 、 目 录 和 网 络 设备 联系 起 来 。 属 性 安全 
在 权限 安全 的 基础 上 ， 提 供 更 进一步 的 安全 性 。 网 络 上 的 资源 都 应 预先 标 出 一 组 安全 属性 。 
用 户 对 网 络 资源 的 访问 权限 对 应 于 一 张 访问 控制 表 ， 用 以 表明 用 户 对 网 络 资源 的 访问 能 力 。 
属性 设置 可 以 获 羔 已 经 指定 的 任何 受托 者 指派 和 有 效 权 限 。 属 性 往往 能 控制 以 下 几 个 方面 的 
权限 : 向 某 个 文件 写 数据 、 复 制 一 个 文件 、 删 除 目录 或 文件 、 查 看 目录 和 文件 、 执 行文 件 、 
隐 仿 文件、 共享 、 系 统 属性 等 。 网 络 的 属性 可 以 保护 重要 的 目录 和 文件 ， 防 止 用 户 对 目录 和 
文件 的 误 删除 、 执 行 修改 和 显示 等 。 

5. 网 络 服务 器 安全 控制 


网 络 允许 在 服务 器 控制 台 上 执行 一 系列 的 操作 。 用 户 使 用 控制 台 可 以 装载 和 印 载 模块 ， 
安装 和 删除 软件 等 。 网 络 服务 器 的 安全 控制 包括 : 可 以 设置 口令 锁定 服务 器 控制 台 ， 以 防止 
非法 用 户 修改 、 删 除 重要 的 信息 或 破坏 数据 ;可 以 设置 服务 器 登录 时 间 限 制 、 非 法 访问 者 检 
测 和 关闭 的 时 间 间 隔 。 

6. 网 络 监测 和 锁定 控制 


网 络 管理 员 应 对 网 络 实施 监控 ， 服 务 器 应 记录 用 户 对 网 络 资源 的 访问 ， 对 非法 的 网 络 访 
问 ， 服 务 器 应 当 以 图 形 或 文字 或 声音 等 形式 进行 报警 ， 以 引起 网 络 管理 员 的 注意 。 如 果 不 法 
之 徒 试图 进入 网 络 ， 网 络 服务 器 应 当 会 自动 记录 企图 尝试 进入 网 络 的 次 数 ， 如 果 非 法 访问 的 
次 数 达 到 所 设置 数值 后 ， 该 帐户 将 被 自动 锁定 。 
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7. 网 络 端口 和 节点 的 安全 控制 


网 络 中 服务 器 的 端口 往往 使 用 自动 回 呼 设备 、 静 默 调制 解 调 器 加 以 保护 ， 并 以 加 密 的 形 
式 来 识别 节点 的 身份 。 自 动 回 呼 设备 用 于 防止 假冒 合法 用 户 ， 静 默 调 制 解 调 器 用 于 防范 黑客 
的 自动 拨号 程序 对 计算 机 进行 攻击 。 网 络 还 经 常 对 服务 器 端 和 用 户 端 采 取 控 制 ， 用 户 必须 携 
带 证 实 身份 的 验证 器 (如 智能 卡 、 磁 卡 、 安 全 密码 发 生 器 )。 在 对 用 户 的 身份 进行 验证 之 后 ， 
才 人 允许 用 户 进入 用 户 端 ， 然 后 ， 用 户 端 和 服务 器 端 再 进行 相互 验证 。 


19.9.3 ”信息 加 密 策略 


信息 加 密 的 目的 是 保护 网 内 的 数据 、 文 件 、 口 令 、 控 制 信息 和 网 上 传输 的 数据 。 网 络 加 
密 常 用 的 方法 有 链 路 加 密 、 端 点 加 密 和 节点 加 密 3 种 。 链 路 加 密 的 目的 是 保护 网 络 节点 之 间 
的 链 路 信息 安全 ; 端点 加 密 的 目的 是 对 源 端 用 户 到 目的 端 用 户 的 数据 进行 保护 ， 节 点 加 密 的 
目的 是 对 源 节 点 到 目的 节点 之 间 的 传输 链 路 进行 保护 。 用 户 可 以 根据 网 络 情况 需求 酌情 选择 
上 述 加 密 方式 。 

信息 加 密 过 程 是 由 形形色色 的 加 密 算法 来 具体 实施 的 ， 它 以 很 小 的 代价 提供 巨大 的 安全 
保护 。 在 多 数 情况 下 ,信息 加 密 是 保证 信息 机 密 性 的 惟一 方法 。 据 不 完全 统计 ， 到 目前 为 止 ， 
已 经 公开 发 表 的 各 种 加 密 算法 多 达 数 百 种 。 如 果 按 照 收发 双方 密 钥 是 否 相同 进行 分 类 ， 可 以 
将 这 些 加 密 算 法 分 为 常规 密码 算法 和 公 钥 密码 算法 两 种 。 

在 常规 的 密码 中 ， 收 信 方 和 发 信 方 使 用 相同 的 密 钥 ， 即 加 密 密 钥 和 解密 密 钥 是 相同 或 等 
价 的 。 比 较 著 名 的 常规 密码 算法 有 : 美国 的 DES 及 其 各 种 变形 , 如 Triple DES、GDES、New 
DES 和 DES 的 前 身 Lucifer; 欧洲 的 IDEA; 日 本 的 FEAL 一 N、LOKI 一 91、Skipjack、RC4、 
RC5 以 及 以 代 换 密码 和 转 轮 密码 为 代表 的 古典 密码 等 。 在 众多 的 常规 密码 中 ， 影 响 最 大 的 是 
DES 密码 。 

常规 密码 的 优点 是 : 有 很 强 的 保密 强度 ， 且 经 受 住 时 间 的 检验 和 攻击 。 但 是 它 的 密 钥 必 
须 通 过 安全 的 途径 进行 传送 ， 因 此 ， 它 的 密 钥 管理 成 为 系统 安全 的 重要 因素 。 

在 公 钥 密码 中 ， 收 信 方 和 发 信 方 使 用 的 密 钥 互 不 相同 ， 并 且 几 乎 不 可 能 从 加 密 密 钥 推导 
出 解密 密 钥 。 比 较 著名 的 公 钥 密码 算法 有 : RSA、 背 包 密 码 、McEliece 密码 、Diffe-Hellman、 
Rabin、Ong-Fiat-Shamir、 零 知识 证 明 的 算法 、 椭 圆 曲 线 、EIGamal 算法 等 。 最 有 影响 的 公 钥 
密码 算法 是 RSA， 它 能 够 抵抗 目前 已 知 的 所 有 密码 攻击 。 

公 钥 密码 的 优点 是 ， 可 以 适应 网 络 的 开放 性 要 求 ， 且 密 钥 管理 问题 较为 简单 ， 尤 其 是 可 
以 方便 地 实现 数字 签名 和 验证 。 但 是 它 的 算法 复杂 ， 加 密 数 据 的 速率 较 低 ， 尽 管 如 此 ， 随 着 
现代 电子 技术 和 密码 技术 的 发 展 ， 公 钥 密 码 算法 将 是 一 种 很 有 前 途 的 网 络 安全 加 密 体制 。 

当然 ， 在 实际 应 用 中 ， 人 们 通常 将 常规 密码 和 公 钥 密码 结合 起 来 使 有 用， 例如， 利用 DES 
或 IDEA 来 加 密 信息 , 而 采用 RSA 来 传递 会 话 密 钥 。 如 果 按 照 每 次 加 密 所 处 理 的 比特 进行 分 
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类 , 可 以 将 加 密 算法 分 为 序列 密码 和 分 组 密码 两 种 。 前 者 每 次 只 加 密 一 个 比特 ， 而 后 者 则 先 
将 信息 序列 进行 分 组 , 每 次 处 理 一 个 组 。 密码 技术 是 网 络 安全 最 有 效 的 技术 之 一 。 一 个 加 密 
网 络 , 不 但 可 以 防止 非 授权 用 户 的 搭 线 窍 听 和 入 网 , 而 且 也 是 对 付 恶意 软件 的 有 效 方法 之 一 。 


19.9.4” 防 病毒 技术 


随 着 计算 机 技术 的 不 断 发 展 ， 计 算 机 病毒 也 变 得 越 来 越 复杂 和 高 级 ， 对 整个 计算 机 系统 
造成 了 非常 大 的 威胁 。 加 强 防 病毒 的 工作 能 够 有 利于 保证 本 地 或 者 网 络 的 安全 。 防 病毒 软件 
从 功能 上 可 以 分 为 网 络 防 病毒 软件 和 单机 防 病毒 软件 两 大 类 。 单 机 防 病毒 软件 一 般 安 装 在 单 
台 PC 机 器 上 ,对 整个 PC 机 器 起 到 了 清楚 病毒 、 分 析 扫描 等 作用 。 而 网 络 防 病毒 软件 则 能 够 
保护 整个 网 络 ， 避 免 遭 到 病毒 的 攻击 。 


19.9.5 ”防火 墙 技术 


防火 墙 技术 是 网 络 安全 防范 的 有 效 方法 之 一 ， 配 置 防火 墙 是 达到 实现 网 络 安全 最 基本 、 
最 经 济 、 最 有 效 的 安全 措施 之 一 。 防 火 墙 可 以 有 硬件 和 软件 两 种 ， 它 对 内 部 网 络 访问 及 管理 
内 部 用 户 访问 外 界 网 络 的 权限 进行 了 规范 。 防 火 墙 技术 能 够 极 大 提高 一 个 网 络 的 安全 性 ， 降 
低 网 络 骨 溃 的 危险 系数 。 


19.9.6 网络 入 侵 检测 技术 


入 侵 检测 是 从 多 种 计算 机 系统 及 网 络 中 收集 信息 ， 再 通过 这 些 信息 分 析 入 侵 特征 。 它 被 
称 为 是 防火 墙 后 的 第 二 道门 ， 可 以 使 得 入 侵 在 入 侵 攻击 之 前 被 检测 出 来 ， 并 通过 报警 与 防护 
系统 将 入 侵 拒 绝 ， 从 而 尽量 减少 被 攻击 。 入 侵 技术 是 为 保证 计算 机 系统 的 安全 而 设计 与 配置 
的 一 种 能 够 及 时 发 现 并 报告 系统 中 未 授权 或 异常 现象 的 技术 ， 是 一 种 用 于 检测 计算 机 网 络 中 
违反 安全 策略 行为 的 技术 。 


19.9.7 ”网 络 安全 管理 策略 


在 网 络 安全 中 ， 除 了 采用 上 述 安全 技术 措施 之 外 ， 加 强 网 络 的 安全 管理 ， 制 定 有 关 规 章 
制度 ， 对 于 确保 网 络 的 安全 、 可 靠 地 运行 ， 将 起 到 十 分 有 效 的 作用 。 

网 络 的 安全 管理 策略 包括 : 确定 安全 管理 等 级 和 安全 管理 范围 ; 制订 有 关 网 络 操作 使 用 
规程 和 人 员 出 入 机 房管 理 制度 ;制定 网 络 系统 的 维护 制度 和 应 急 措施 等 。 


NE 


远程 管理 与 控制 


远程 管理 是 指 系统 管理 员 使 用 远程 命令 或 通过 远程 登录 的 方式 管 
理 网 站 服务 器 ， 并 完成 一 些 特定 的 系统 维护 和 管理 工作 。 在 Windows 
Server 2003 操作 系统 中 可 以 使 用 “Telnet”( 基 于 命令 行 的 远程 控制 
方式 ) 和 “Terminal”( 基 于 图 形 化 界面 的 远程 控制 方式 ) 等 功能 实现 远 
程控 制 。 另 外 ， 一 些 第 三 方 软件 如 WinVNC、PuTTY 和 SecureCRT 
也 能 进行 远程 控制 。 本 章 将 详细 介绍 如 何 利 用 Windows Server 2003 
中 的 远程 控制 方式 来 实现 远程 管理 服务 器 。 
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某 些 系统 管理 员 习 惯 直 接 在 服务 器 上 进行 系统 的 维护 工作 ， 如 新 增 帐号 、 软 件 安装 、 系 
统 配置 和 日 志 查 询 等 ， 这 并 不 是 专业 的 系统 管理 员 ， 这 种 概念 在 目前 网 络 系统 迅速 发 展 的 环 
境 中 ， 不 仅 落 伍 ， 而 且 是 错误 的 。 

一 般 来 说 ， 服 务 器 都 放 于 专门 的 机 房 里 ， 以 保持 温 湿度 等 条 件 。 并 且 需 要 设置 存 取 的 限 
制 ， 密 码 保护 等 ， 这 种 环境 并 不 适合 管理 员 经 常 性 地 进行 维护 工作 。 因 此 “远程 管理 ”这 个 
概念 被 提出 ， 利 用 “远程 管理 ”， 管 理 员 的 管理 范围 加 大 了 ， 可 以 在 任何 地 方 进行 管理 ， 如 
果 有 什么 急事 ， 管 理 员 不 在 现场 ， 也 可 以 解决 问题 ， 可 以 达到 “运筹 帷 峙 ， 决 胜 于 千里 之 
外 ”的 效果 。 

目前 能 实现 远程 管理 的 软件 很 多 ， 如 Windows 自 带 的 终端 服务 、PCAnyWhere 和 冰河 、 
WinVNC、PuTTY、SecureCR 等 ， 下 面 有 选择 地 进行 介绍 。 


20.1 Telnet 应 用 


Telnet 是 TCP/IP 协议 家 族 的 成 员 , 它 可 以 使 用 户 在 服务 器 上 建立 远程 会 话 。 该 协议 只 支 
持 字 母 数字 终端 ， 也 就 是 它 不 支持 鼠标 和 其 他 指针 设备 ， 也 不 支持 图 形 用 户 界面 。 相 应 地 ， 
所 有 命令 都 必须 在 命令 行 中 输入 。 

Telnet 协议 所 提供 的 安全 性 非常 低 。 在 不 使 用 NTLM(NT LAN Manager，Windows NT 系 
统 局 域 网 管理 ) 身 份 验证 的 Telnet 会 话 中 , 包括 密码 的 所 有 数据 都 在 客户 端 和 服务 器 之 间 以 明 

文 的 形式 传输 。 因为 Telnet 会 话 通信 不 安全 , 请 确保 在 Telnet 会 话 过 程 中 没有 发 送 敏感 数据 。 

目前 在 远程 管理 和 控制 服务 器 时 ， 不 建议 使 用 Telnet， 但 作为 一 个 学 习 远 程控 制 的 基础 知识 ， 
这 里 仍 做 简单 介绍 。 

Telnet 最 常用 的 功能 是 登录 服务 器 并 执行 服务 器 端的 应 用 程序 。 


20.1.1 启动 Telnet 服务 


正常 情况 下 在 Windows Server 2003 操作 系统 中 , 用 户 可 进入 到 系统 命令 提示 符 环境 , 输 
入 “net start Telnet” 后 按 回 车 键 便 可 开启 Telnet 服务 。 但 如 果 出 现 “ 无 法 启动 服务 ”这 样 的 
提示 , 那 是 因为 在 系统 中 的 Telnet 服务 并 没有 开启 ， 在 Windows Server 2003 操作 系统 中 ， 该 
服务 默认 状态 下 是 关闭 的 ， 可 按 如 下 操作 步骤 开启 Telnet 服务 。 

(1) 打开 “开始 ”菜单 ， 选 择 “ 管 理工 具 ”|“ 服 务 ”命令 , 打开 “服务 ”窗口 ， 如 图 20-1 
所 示 。 
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图 20-1 打开 “服务 ”窗口 


(2) 在 打开 的 “服务 ”窗口 右 侧 的 服务 列表 中 选择 Telnet 服务 ， 可 以 看 到 该 服务 的 “ 启 
动 类 型 ”为 “禁用 ”， 而 “服务 状态 ”处 于 “已 停止 ”状态 ， 如 图 20-2 所 示 。 
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20-2 ” Telnet 服务 


(3) 双击 Telnet 服务 ， 打 开 其 属性 窗口 ， 将 “启动 类 型 ”设置 为 “自动 ”， 单 击 “ 确 定 ” 
按钮 ， 如 图 20-3 所 示 。 

(4) 此 时 只 设置 了 其 启动 类 型 ， 还 没有 启动 Telnet 服务 ， 单 击 工具 栏 的 “启动 服务 ” 按 
钮 ，Telnet 服务 就 启动 了 ， 如 图 20-4 所 示 。 
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另外 , 可 能 会 有 用 户 在 服务 控制 台中 找 不 到 Telnet 服务 。 这 种 情况 通常 发 生 在 Windows 
Server 2003 Service Pack 1(SP 1) 版 或 基于 x 64 版 本 的 Windows Server 2003 中 , 是 由 于 计算 机 
名 称 包含 15 个 以 上 字符 引起 的 ， 解 决 的 方法 如 下 。 

(1) 右 击 “ 我 的 电脑 ”图 标 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 “ 系 统 属性 ” 
对 话 框 ， 选择 “计算 机 名 ”选项 卡 ， 单 击 “ 更 改 ” 按钮 ， 更改 计算 机 名 使 其 小 于 15 个 字符 数 ， 
如 图 20-5 所 示 。 

(2) 重新 启动 计算 机 。 

(3) 打开 “开始 ”菜单 ， 选 择 “ 运 行 ”命令 ， 在 打开 的 窗口 中 ,输入 cmd， 然 后 单 击 “ 确 
定 ” 按 钮 ， 进 入 命令 行 模式 。 输 入 “tlntsvr /service”, 然后 按 回 车 键 ， 如 图 20-6 所 示 。 
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20-5 ”修改 计算 机 名 图 20-6 修复 Telnet 服务 


此 时 ， 再 打开 服务 控制 台 ， 就 可 以 找到 Telnet 服务 了 。 


20.1.2 ”进行 Telnet 连接 


应 用 Telnet 服务 主要 是 指 以 命令 行 方式 从 客户 端 登录 到 服务 器 ， 并 执行 操作 ， 有 具体 步骤 
如 下 。 

(1) 在 Windows Server 2003 客户 端 中 , 选择 “开始 ”| 运行” 命令 , 在 打开 的 窗口 中 , 输 
入 cmd， 然 后 单 击 “ 确 定 ”按钮 ， 进 入 命令 行 模式 ， 在 提示 符 后 按 如 下 格式 输入 : 


[Telnet 主机 名 (或 他 地址) 端口 号] 


例如 “Telnet 192.168.0.11”。 


注 
4 3 
在 此 可 能 有 些 读者 朋友 会 发 现 笔者 在 例子 中 并 没有 输入 端口 号 ， 这 是 因为 在 服务 
端 ， 默 认 的 Telnet 服务 端口 号 是 23 ， 如 果 该 服务 的 端口 号 有 所 变动 ， 那 就 应 在 命令 中 
添加 相应 的 端口 号 。 
输入 完毕 后 ， 按 下 回 车 键 ， 执 行 结果 如 图 20-7 所 示 。 
(2) 如 图 20-7 所 示 ， 在 进行 登录 时 ， 会 出 现 一 个 “您 将 要 把 您 的 密码 信息 送 到 Intemet 
区 内 的 一 台 远 程 计算 机 上 ， 这 可 能 不 安全 。 您 还 要 送 吗 ? ”这 样 的 提示 ， 输 入 “y”， 执 行 结 
果 如 图 20-8 所 示 。 


图 20-7 ”使 用 Telnet 连接 服务 器 图 20-8 客户 端 登 录 
(3) 在 此 可 以 输入 用 户 名 Administrator 与 相应 的 密码 进行 登录 ， 但 是 为 了 加 深 用 户 对 登 
录 管 理 的 了 解 ， 这 里 在 服务 端 新 建 一 个 用 户 bupt， 并 赋予 其 登录 权限 。 在 服务 端 打开 “开始 ” 
菜单 ， 选 择 “ 管 理工 具 ”|“ 计 算 机 管理 ”命令 ， 打开“ 计算 机 管理 ”窗口 ， 如 图 20-9 所 示 。 
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20-9 “计算 机 管理 ”窗口 


(4) 单 击 并 展开 左 侧 的 “本 地 用 户 和 组 ”， 选 择 “ 用 户 ” 节 点 ， 在 右 侧 窗口 中 单 击 鼠 标 
右键 ， 从 弹出 的 快捷 菜单 中 选择 “新 用 户 ” 命 令 ， 输 入 用 户 名 与 密码 ， 并 选中 下 方 的 “密码 
永 不 过 期 ” 复 选 框 (根据 用 户 需 要 可 选中 不 同 选项 来 管理 密码 )， 如 图 20-10 所 示 。 


i ys bupt 用 户 的 所 属 组 为 Adrministrators， 这 样 就 可 以 拥有 使 用 Telnet 登录 的 权限 了 。 在 右 
侧 窗口 选中 用 户 “bupt”， 单 击 鼠 标 右键 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 在 打开 
的 “属性 ”窗口 中 单 击 “隶属 于 ”选项 不， 如 图 20.11 所 示 。 


图 20-10 创建 新 用 户 图 20-11 用 户 属性 


(6) 单 击 “ 添 加 ”按钮 ， 依 次 单 击 “ 高 级 ”|“ 立 即 查 找 ” 按 钮 ， 在 搜索 结果 中 选择 
Administrators, 如 图 20-12 所 示 。 单 击 “ 确 定 ” 按 钮 后 返回 “属性 ”窗口 , 选择 “Administrators” 
为 其 隶属 于 的 组 , 如 图 20-13 所 示 。 单 击 “ 确 定 ” 按 钮 ,这 样 用 户 “bupt” 就 拥有 了 使 用 Telnet 
登录 的 权限 。 


图 20-12 查找 组 图 20-13 选择 隶属 组 


(7) 在 刚才 客户 端的 登录 窗口 中 使 用 用 户 “bupt” 进 行 登录 ， 执 行 结果 如 图 20-14 所 示 。 
(8) 在 命令 行 窗口 输入 浏览 命令 “dir”， 如 图 20-15 所 示 。 


执行 结果 返回 了 服务 器 C 盘 根 目录 下 的 文件 列表 ， 说 明 Telnet 登录 成 功 。 现 在 已 经 可 以 
对 服务 端 进行 远程 控制 ， 在 DOS 状态 下 进行 简单 的 文件 操作 及 远程 管理 工作 了 。 
Telnet 192-168.0. 11 EEE 


图 20-14 登录 服务 器 图 20-15 登录 成 功 执行 dir 命令 


20.2 Terminal 应 用 


与 Telnet 操作 方式 不 同 的 是 ，Terminal 服务 提供 图 形 界面 方式 来 进行 远程 管理 服务 器 ， 
并 且 可 以 利用 Terminal 服务 的 强大 功能 实现 对 服务 器 的 远程 监控 与 管理 。 


20.2.1 安装 终端 服务 器 


在 管理 远程 服务 器 前 , 需要 安装 终端 服务 器 , 使 服务 器 可 以 提供 多 个 客户 端的 访问 服务 。 
Windows Server 2003 的 默认 安装 并 没有 包含 终端 服务 器 组 件 ， 需 要 另行 安装 。 终 端 服务 器 包 
括 两 个 组 件 : 终端 服务 器 和 终端 服务 器 协议 。 安 装 步骤 如 下 。 

(1) 打开 “开始 ”菜单 ， 选 择 “ 控 制 面 板 ”|“ 添 加 /删除 程序 ”命令 ， 打 开 “ 添 加 /删除 程 
序 ” 对 话 框 。 

(2) 单 击 “添加 /删除 Windows 组 件 ” 选 项 ， 出 现 “Windows 组 件 向 导 ” 对 话 框 ， 从 列 
表 中 选择 “终端 服务 器 ”和 “终端 服务 器 授权 ”组 件 ， 如 图 20-16 所 示 。 
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图 20-16 选择 “终端 服务 器 ”组 件 
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(3) 由 于 Windows Server 2003 启用 了 “Intemet Explorer 增强 的 安全 配置 ”， 所 以 限制 了 
终端 用 户 访问 、 浏 览 Intemet 和 局 域 网 。 因 此 ， 需 要 进行 修改 。 在 “Windows 组 件 向 导 ” 对 
话 框 中 ， 将 组 件 “Intemet Explorer 增强 的 安全 配置 ”中 的 “所 有 其 他 用 户 组 使 用 ” 子 组 件 的 
复 选 框 取消 ， 即 不 安装 此 子 组 件 ， 如 图 20-17 所 示 。 

(4) 单 击 “ 下 一 步 ”按钮 ， 进 入 如 图 20-18 所 示 的 窗口 。 
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图 20-17 修改 “Internet Explorer 增强 的 安全 配置 ” 20-18 ”终端 服务 器 安装 说 明 


(5) 单 击 “ 下 一 步 ”按钮 ， 进 入 如 图 20-19 所 示 的 窗口 。 
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(6) 保持 默认 选项 ， 继 续 单 击 “ 下 一 步 ”按钮 ， 进 入 正式 安装 画面 ， 直 至 安装 完毕 ， 单 
击 “ 确 定 ”按钮 ， 完 成 安装 。 


20.2.2 ”配置 远程 访问 


为 了 使 用 户 具备 远程 访问 服务 器 的 能 力 ， 还 需要 对 服务 器 的 远程 访问 进行 相应 的 设置 ， 
具体 方法 如 下 。 


(1) 右 击 “我 的 电脑 ”图 标 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 “ 属 性 ” 窗 
口 ， 单 击 “ 远 程 ” 选 项 卡 ， 如 图 20-20 所 示 。 
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图 20-20 “远程 ”选项 卡 


(2) 选中 “启用 这 人 台 计 算 机 上 的 远程 桌面 ” 复 选 框 ， 然 后 单 击 “ 确 定 ” 按 钮 。 
20.2.3 ”安装 和 测试 客户 端 

用 于 远程 访问 的 客户 端 可 以 通过 命令 行 与 图 形 界 面 两 种 方式 访问 服务 器 ， 下 面 分 别 介绍 
这 两 种 方法 。 

1. 命令 行 方式 


(1) 在 客户 端 机 器 中 打开 “开始 ” 菜单, 选择 “运行 ”命令 , 在 打开 的 窗口 中 , 输入 cmd， 
然后 单 击 “ 确 定 ”按钮 ， 进 入 命令 行 模式 ， 在 提示 符 后 按 如 下 要 求 输入 : 


[mstsc /Vv: 主 机 名 (或 他 地 址 )] 


例如 “mstsc /v: 192.168.0.11 ”， 如 图 20-21 所 示 。 


20-21 用 命令 行 方式 远程 访问 
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(2) 按 回 车 键 后 将 出 现 如 下 界面 ， 表 示 连 接 成 功 ， 如 图 20-22 所 示 。 
(3) 输入 用 户 名 和 密码 ， 单 击 “确定 ”按钮 即 可 远程 控制 服务 端 桌面 ， 如 图 20-23 所 示 。 


安 凶 使 用 “而 关系 的 服务 器 各 时“ 


Ls 和 


图 20-22 远程 登陆 成 功 图 20-23 ”远程 桌面 


2. 图 形 界面 方式 


由 于 命令 行 方式 操作 不 便 ， 因 而 大 多 数 用 户 更 青睐 于 利用 图 形 界 面 方式 进行 远程 登录 。 
但 是 ， 在 使 用 图 形 界面 远程 登录 之 前 ， 需 要 安装 终端 访问 服务 程序 。 其 安装 文件 可 以 在 
Windows Server 2003 系统 中 找到 , 位 于 C:\WINDOWS\system32\clients\tsclient\win32 目录 下 。 

(1) 执行 客户 端 安装 程序 ， 进 入 如 图 20-24 所 示 的 安装 向 导 窗 口 。 

(2) 单 击 “ 下 一 步 ”按钮 ， 进 入 如 图 20-25 所 示 的 “许可 协议 ”窗口 。 


诊 导 划 全 运程 吾 面 演 接 - Tastall3h ee 
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一 用 户 补充 许可 协议 ，REMOTEDESKTOP CONNECTION 版 本 62 


30， 请 认真 全 这 -本 《最 这 科 户 补充 许可 击 议 》 《补充 多 议 》) 是 息 


so FEBE ww | 
20-24 ”客户 端 安装 向 导 20-25 许可 协议 


(3) 选择 “我 接受 许可 协议 中 的 条 款 ” 单 选 按钮 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 进 入 如 图 
20-26 所 示 的 窗口 。 

(4) 输入 用 户 名 和 单位 信息 ， 保 持 默 认 的 安装 对 象 选项 ， 单 击 “ 下 一 步 ”按钮 进入 如 图 
20-27 所 示 的 窗口 。 


间 运程 点 面 连接 - InstellShiel4 诊 导 


客户 入 息 全 可 以 安装 程 订 了 
请 输入 您 的 信息 。 ( 人 向 寻 已 就 结 ,可 以 开始 安装 了 。 
Bey: 要 开始 安装 ， 请 间 击 "安装 
bunt 加 采 要 审阅 或 更 改 任何 安装 设置 请 单 击 ` 上 一 步 *。 要 退出 向 导 ， 请 单 击 ' 职 消 *, 
单位 (QO); 
此 应 用 程序 的 安装 对 村; 
他 任何 使 用 这 台 计 算 机 的 人 (所 有 用 户 XA) 
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上 mii 
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图 20-26 输入 客户 信息 图 20-27 完成 安装 准备 


(5) 单 击 “ 安 装 ”按钮 ， 开 始 正式 安装 ， 直 至 安装 完毕 ， 单 击 “ 确 定 ”按钮 退出 。 
(6) 打开 “开始 ”菜单 ， 选 择 “ 所 有 程序 ”| “远程 桌面 连接 ”命令 ， 打 开 “ 远 程 桌 面 连 
接 ” 窗 口 ， 如 图 20-28 所 示 。 


图 20-28 “远程 桌面 连接 ”窗口 


(7) 输入 服务 器 他 地 址 ， 单 击 “ 连 接 ” 按 钮 ， 客 户 端 桌面 将 切换 到 Windows Server 2003 
的 登录 界面 ， 输 入 用 户 名 和 密码 后 即 可 进行 远程 控制 ， 与 之 前 用 命令 行 方式 登录 类 似 。 


20.3 WinVNC 应 用 


20.3.1 VNC 简介 


VNC (Virtual Network Computing， 虚 拟 网 络 计 算 机 ) 是 由 英国 剑桥 大 学 的 AT&T 实验 室 
2002 年 开发 的 ， 它 是 一 种 可 操控 远程 计算 机 的 软件 ， 也 就 是 说 它 能 够 将 完整 的 窗口 画面 通过 
网 络 传输 到 另 一 台 计算 机 的 屏幕 上 。 它 在 Mac 平台 上 称 为 MacVNC， 在 Windows 平台 上 称 
为 WinVNC。 

相对 于 其 他 管理 工具 ，VNC 有 自己 的 特点 。 

(1) 客户 端 活 动 (如 掉 线 等 ) 不 会 影响 到 服务 端 ， 再 次 连接 就 可 正常 使 用 。 

(2) 客户 端 无 需 安装 ， 甚 至 用 正 等 浏览 器 就 可 控制 服务 端 。 
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(3) 最 大 的 优点 就 是 真正 跨 平台 使 用 。 它 支持 的 平台 有 : Mac、Windows、Solaris Linux 
RPMs & Debian packages、 Acom RISC OS、 Amiga, BeOS、 BSDI\ Cygwin32、 DOS、 FreeBSD、 
Geos, GGI, HPUX、 KDE、 NetBSD、\ NetWinder、 Nokia 9000、 OpenStep/Mach、 OS/2、 PalmPilot、 
SCO OpenServer、 SGI Irix 6.2、SPARC Linux、SunOS 4.1.3、SVGALIB (Linux without an X 
server)、VMS、Windows CE 和 Windows NT/Alpha。 

VNC 远程 管理 软件 包括 服务 器 VNC Server 和 客户 端 VNC Viewer。 用 户 需 要 先 将 VNC 
Server 安装 在 被 控 端的 计算 机 上 ， 才 能 在 主 控 端的 计算 机 上 执行 VNC Viewer 控制 被 控 端 。 

整个 VNC 运行 的 工作 流程 如 下 。 

(1) VNC 客户 端 通过 浏览 器 或 VNC Viewer 连接 至 VNC Server。 

(2) VNC Server 传送 一 对 话 窗 口 至 客户 端 ， 要 求 输入 连接 密码 ， 以 及 存 取 的 VNC Server 
显示 装置 。 

(3) 在 客户 端 输入 联机 密码 后 ，VNC Server 验证 客户 端 是 否 具 有 存 取 权限 。 

(4) 若是 客户 端 通过 VNC Server 验证 ， 客 户 端 即 要 求 VNC Server 显示 桌面 环境 。 

(5) 被 控 端 将 画面 显示 控制 权 交 由 VNC Server 负责 。 

(6) VNC Server 将 把 被 控 端的 桌面 环境 利用 VNC 通信 协议 送 至 客户 端 , 并 且 人 允许 客户 端 
控制 VNC Server 的 桌面 环境 及 输入 装置 。 


20.3.2 配置 WinVNC 服务 器 


首先 下 载 WinVNC 软件 ， 这 里 在 网 址 http://www.ie66.com 中 下 载 了 一 个 版 本 比较 新 的 
WinVNC 软件 ，vnc-4.0-x86_win32。 

接着 来 安装 vnc-4.0-x86_win32， 当 安装 程序 进行 到 Select Components 对 话 框 时 , 可 以 根 
据 需 要 选中 VNC Server 或 VNC Viewer 前 面 的 复 选 框 ， 如 图 20-29 所 示 。 
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图 20-29 Select Components 对 话 框 


安装 vnc-4.0-x86 win32 完毕 后 ， 在 “开始 ”菜单 中 将 会 出 现 3 个 选项 : VNC Server 
4(Service-Mode)、VNC Server 4(User-Mode) 和 VNC Viewer 4, 如 图 20-30 所 示 。 在 VNC Server 
4(Service-Mode) 选 项 中 ， 又 有 5 个 选项 ， 用 户 可 以 根据 需要 进行 VNC Server 的 启动 等 操作 。 
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图 20-30 中 “开始 ”菜单 中 的 VNC 相关 选项 
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图 20-31 RUN VNC Viewer 选项 


20.3.3 使 用 WinVNC 客户 端 访问 控制 服务 器 


在 VNC Viewer 4 选项 中 ， 包 括 Run Listening VNC Viewer 和 RUN VNC Viewer 两 个 选 
项 ， 如 图 20-31 所 示 。 选 择 RUN VNC Viewer 选项 ， 将 打开 VNC Viewer:Connection Details 
对 话 框 ， 如 图 20-32 所 示 。 


Va Sevor fo toe.1.2: 到 


about Dos | or | com 


20-32 VNC Viewer:Connection Details 对 话 框 


在 该 对 话 框 中 ， 输 入 要 远程 控制 的 Server 的 他 地 址 或 主机 名 ， 以 及 要 使 用 的 显示 器 号 。 
这 里 输入 Server 的 他 地 址 和 显示 器 号 *192.168.1.2:1”, 单 击 OK 按钮 , 系统 将 打开 VNC Viewer 
Options 对 话 框 (一 般 第 一 次 使 用 VNC Viewer 时 会 出 现 该 对 话 框 )， 如 图 20-33 所 示 。 
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20-33 ”VNC Viewer Options 对 话 框 
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在 该 对 话 框 中 ， 用 户 可 以 设置 显示 的 颜色 等 级 等 ， 一 般 按照 默认 的 设置 即 可 ， 单 击 “ 确 
定 ” 按 钮 ， 系 统 将 打开 VNC Viewer:Authentication 对 话 框 ， 如 图 20-34 所 示 。 


VNC Viewer : Authentication [NO EncryptioN] 
WW 
Password a 


图 20-34 VNC Viewer:Authentication 对 话 框 


在 该 对 话 框 中 ， 输 入 登录 VNC Server 超级 管理 员 密 码 (用 户 名 默认 不 用 输入 )， 单 击 OK 
按钮 ， 即 可 开始 控制 远程 计算 机 。 


20.3.4 通过 浏览 器 访问 控制 WinVNC 服务 器 


如 果 使 用 浏览 器 连接 VNC Server， 首 先 要 确认 默认 的 端口 号 是 什么 ， 一 般 来 说 ,默认 端 
口 是 $800 或 5900， 也 可 能 是 5801 或 5901， 这 要 根据 用 户 在 安装 VNC Server 时 设置 的 端口 
号 而 定 。 

在 Windows 2000 下 的 正 浏览 器 中 输入 VNC Server 的 他 地 址 和 端口 号 ,格式 如 下 : 


http:/ 主 机 名 (CIP 地址 ): 端口 号 (5801 等 ) 
具体 操作 用 户 可 自行 练习 。 


20.4 PuTTY 应 用 


20.4.1 PuTTY 简介 


PuTTY 是 一 款 免 费 而 小 巧 的 Win32 平台 下 的 SSH/Telnet 客户 端 软件 ， 它 可 以 连接 到 支 
持 SSH 或 Telnet 联机 的 系统 ， 并 且 可 自动 取得 对 方 的 系统 指纹 码 (Fingerprint)。 建 立 联 机 以 
后 ， 所 有 的 通讯 内 容 都 是 以 加 密 的 方式 传输 ， 因 此 用 户 再 也 不 用 担心 使 用 Telnet 在 Intemet 
或 公司 的 内 部 网 络 传输 资料 时 被 第 三 者 获知 内 容 , 比 Telnet 安全 很 多 。 它 的 主 程序 只 有 348k， 
但 功能 强大 。 


20.4.2 使 用 PuTTY 


首先 下 载 PuTTY 程序 ， 网 址 如 下 : 


该 程序 不 需要 安装 ， 直 接 用 鼠标 双击 它 ， 
(1) 下 载 PuTTY 软件 并 解压 缩 。 如 图 20-35 所 示 为 PuTTY 解压 缩 后 的 文件 夹 。 


http://www.chiark.greenend.org.uk/~sgtatham/putty/ 
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20-35 PuTTY 
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(2) 双击 如 图 20-35 所 示 的 PuTTY 图 标 ,将 打开 PuTTY Configuration 对 话 框 ,如 图 20-36 
所 示 。 
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20-36 ”PuTTY Configuration 对 话 框 


(3) 在 该 对 话 框 中 , 输入 要 连接 的 远程 系统 的 主机 名 或 也 地 址 , 这 里 输入 “192.168.1.2”， 
端口 号 是 默认 的 22， 选 择 连接 需要 的 协议 ， 这 里 提供 有 Raw、Telnet、Rlogin 和 SSH， 在 此 
选择 SSH。 然 后 单 击 Open 按钮 ， 系 统 将 自动 进行 连接 ， 若 连接 成 功 ， 就 会 把 远程 Windows 
Server 2003 操作 系统 的 终端 窗口 显示 出 来 ， 用 户 就 可 以 任意 对 远程 系统 进行 管理 。 


就 会 自动 执行 。 操 作 步 骤 如 下 。 


20.5 ” ”SecureCRT 应 用 


对 系统 管理 员 来 说 ，telnet 是 经 常 使 用 的 一 个 远程 管理 工具 ,但 是 telnet 本 身 在 传送 数据 
或 者 进行 其 他 工作 的 时 候 ， 都 是 以 “明码 ”方式 来 传送 指令 (包括 帐号 和 密码 )， 这 样 ， 当 黑 
客 以 listen 的 功能 监听 用 户 的 数据 封包 时 ， 用 户 传送 的 数据 将 会 被 窍 取 ， 所 以 ，telnet 被 认为 
是 一 种 非常 不 安全 的 远程 管理 和 数据 传送 工具 。 


20.5.1 SecureCRT 简介 及 安装 


SecureCRT 是 一 个 可 以 与 PuTTY 相 媲美 的 TELNET 基于 文本 形式 的 商业 化 远 端 管 理工 
具 ， 它 是 一 个 终端 仿真 程序 ， 是 连接 远程 运行 UNIX 和 VMS 系统 主机 的 理想 选择 。 它 支持 
VT100、VT102、VT220 和 ANSI 终 端 仿真 ， 包 含 基于 文件 的 脚本 和 简单 易 用 的 工具 条 等 。 

SecureCRT 的 下 载 地 址 为 : 

http://www.ayxz.com/soft/3095.htm 

http://soft.btbbt.com/SoftView/SoftView_2799.html 

这 里 下 载 的 软件 版 本 是 SecureCRT 4.1 。 下 载 后 进行 安装 ， 安 装 步骤 及 界面 如 下 。 

(1) 开始 安装 。 如 图 20-37 所 示 为 SecureCRT License Agreement 界面 。 
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20-37 ”SecureCRT License Agreement 界面 


(2) 选择 安装 协议 。 当 安装 配置 程序 进行 到 Choose Protocols 对 话 框 时 , 如 图 20-38 所 示 ， 
要 为 SecureCRT 4.1 选择 要 安装 的 协议 。 这 些 协 议 有 : SSH1、SSH2、telnet、rlogin 和 serial 
等 ， 可 以 选择 一 个 ， 也 可 以 选择 多 个 。 
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图 20-38 Choose Protocols 对 话 框 


(3) 开始 安装 。 当 进行 到 如 图 20-39 所 示 的 Ready to Install! 对 话 框 时 , 单 击 Finish 按钮 ， 
即 可 自动 完成 SecureCRT 4.1 的 安装 。 
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图 20-39 Ready to Install! 对 话 框 


20.5.2 使 用 SecureCRT 4.1 


安装 完成 后 ， 启 动 SecureCRT 4.1， 如 图 20-40 所 示 为 SecureCRT 4.1 主 窗口 。 
在 SecureCRT4.1 主 窗口 中 , 选择 File | Quick Connect 命令 , 如 图 20-41 所 示 , 打开 Quick 
Connect 对 话 框 ， 如 图 20-42 所 示 。 
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图 20-41 选择 File | Quick Connect 命令 
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20-42 Quick Connect 对 话 框 


在 Quick Connect 对 话 框 中 ， 首 先 选择 连接 远程 主机 所 使 用 的 协议 ， 一 般 选用 SSH2， 接 
着 输入 远程 主机 名 或 下 地址 、 端 口号 及 用 户 名 , 单 击 connect 按钮 , 将 打开 Enter Secure Shell 
Password 对 话 框 ， 在 该 对 话 框 中 ， 要 输入 登录 远程 主机 的 用 户 名 和 密码 ( 若 在 Quick Connect 
对 话 框 中 没有 输入 用 户 名 ， 则 要 先 输入 用 户 名 )， 单 击 OK 按钮 ， 程 序 要 经 过 大 概 5 秒 的 连接 
时 间 ， 如 果 连 接 远 程 主机 成 功 ， 可 以 看 到 连接 成 功 后 的 提示 信息 。 接 下 来 用 户 就 可 以 任意 对 
远程 Windows Server 2003 系统 进行 管理 。 


20.6 ”远程 访问 与 控制 的 安全 性 


远程 访问 服务 为 远程 访问 用 户 和 公司 办 公 人 员 提 供 方便 的 同时 , 也 为 远程 访问 服务 器 和 公 
司 网 络 带 来 了 潜在 的 威胁 例如， 没有 加 密 的 数据 在 客户 机 和 服务 器 之 间 传输 时 可 能 被 窃取 ， 
没有 经 过 授权 的 远程 访问 用 户 可 能 通过 某 种 方式 访问 远程 访问 服务 器 和 公司 网 络 中 的 保密 信 
息 等 。 所 以 ， 管 理 员 必须 对 远程 访问 服务 器 进行 一 些 安全 设置 ， 以 维护 网 络 资源 的 安全 性 。 
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20.6.1 身份 验证 和 授权 


区 分 身份 验证 和 授权 ， 对 于 理解 连接 尝试 被 接受 或 者 被 拒绝 的 原因 是 十 分 重要 的 。 

身份 验证 是 验证 连接 尝试 凭据 。 该 过 程 通过 使 用 身份 验证 协议 ， 以 明文 或 加 密 的 形式 在 
远程 访问 客户 机 和 远程 访问 服务 器 之 间 传 送 凭据 。 授 权 是 验证 连接 尝试 是 否 被 准许 ， 在 身份 
验证 成 功 后 ， 授 权 才 会 发 生 。 

对 于 已 被 接受 的 连接 尝试 ， 它 必须 同时 通过 身份 验证 和 授权 。 使 用 有 效 的 凭据 ， 连 接 尝 
试 可 能 通过 了 身份 验证 ， 但 是 有 可 能 未 被 授权 。 在 这 种 情况 下 ， 连 接 尝 试 便 被 拒绝 。 

在 Windows Server 2003 中 提供 了 两 种 身份 验证 程序 ，Windows 身份 验证 和 RADIUS 身 
份 验证 ， 它 们 为 远程 访问 客户 和 请 求 拨号 路 由 器 提供 凭据 验证 。 如 果 远 程 访 问 服务 器 被 配置 
为 使 用 Windows 身份 验证 ， 对 于 身份 验证 将 使 用 Windows Server 2003 安全 性 来 验证 凭据 ， 
并 使 用 用 户 帐户 的 拨 入 属性 和 本 地 存储 的 远程 访问 策略 来 授权 连接 。 如 果 连 接 尝 试 既 通 过 了 
身份 验证 又 通过 了 授权 ， 则 连接 尝试 将 被 接受 。 

如 果 将 远程 访问 服务 器 配置 为 RADIUS 身份 验证 ， 则 连接 尝试 的 凭据 将 被 传送 到 
RADIUS 服务 器 ， 以 便 进行 身份 验证 和 授权 。 如 果 连 接 尝试 经 过 了 身份 验证 和 授权 ， 则 
RADIUS 服务 器 将 接受 消息 发 回 到 远程 访问 服务 器 ， 这 样 连接 尝试 就 被 接受 了 。 如 果 连 接 尝 
试 没有 通过 身份 验证 或 没有 通过 授权 ，RADIUS 服务 器 将 传 回 一 个 拒绝 消息 到 远程 访问 服务 
器 ， 这 样 ， 连 接 尝 试 将 被 拒绝 。 

如 果 RADIUS 服务 器 是 运行 Windows Server 2003 和 “Internet 验证 服务 (LAS)” 的 计算 
机 ， 则 IAS 服务 器 通过 Windows Server 2003 安全 机 制 来 执行 身份 验证 ， 通 过 用 户 帐户 的 拨 
入 属性 和 存储 在 IAS 服务 器 上 的 远程 访问 策略 来 执行 授权 。 

选择 和 设置 远程 访问 服务 器 的 身份 验证 程序 的 具体 操作 步骤 如 下 。 

(1) 打开 “路 由 和 远程 访问 ”控制 台 窗口 ， 在 控制 台 目录 数 中 需要 查看 和 修改 属性 的 服 
务 器 上 单 击 鼠 标 右键 , 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 , 打开 该 服务 器 的 属性 对 话 框 ， 
选择 “安全 ”选项 卡 ， 如 图 20-43 所 示 。 

(2) 如 果 要 使 用 Windows 身份 验证 ， 可 在 “身份 验证 提供 程序 ”下 拉 列 表 框 中 选择 
“Windows 身份 验证 ”选项 ， 如 果 要 使 用 RADIUS 服务 器 进行 身份 验证 程序 ， 可 在 “身份 
验证 提供 程序 ”下 拉 列 表 框 中 选择 “RADIUS 身份 验证 ”选项 。 

(3) 如 果 管 理 员 选择 RADIUS 身份 验证 提供 程序 ， 则 “配置 ”按钮 将 被 激活 。 单 击 该 按 
钮 打开“RADIUS 身份 验证 ”对 话 框 ， 在 该 对 话 框 中 可 进行 添加 和 编辑 RADIUS 服务 ， 如 
20-44 所 示 。 
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图 20-43 设置 安全 属性 图 20-44 ”添加 和 编辑 RADIUS 服务 


(4) 设置 完成 后 ， 单 击 “确定 ”按钮 保存 设置 。 


如 果 管 理 员 使 用 了 RADIUS 身份 验证 ， 则 不 再 需要 添加 远程 访问 策略 。 
20.6.2 ”设置 远程 访问 记 帐 程序 


Windows Server 2003 除了 提供 两 种 身份 验证 程序 外 ， 还 提供 了 以 下 两 种 记 帐 程序 : 
Windows 记 帐 和 RADIUS 记 帐 , 用 于 维护 连接 请 求 和 会 话 日 志 , 这 有 利于 对 远程 客户 登录 进 
行进 行 统计 。 

选择 和 设置 记 帐 程序 的 具体 操作 步骤 如 下 。 

(1) 在 “路 由 和 远程 访问 ”控制 台 窗口 的 目录 树 中 ， 在 需要 设置 记 帐 程序 的 服务 器 上 单 
击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 该 服务 器 的 属性 对 话 框 ， 并 选择 
“安全 ”选项 卡 。 

(2) 如 果 要 使 用 Windows 记 帐 程序 , 可 在 “ 记 帐 提供 程序 ”下 拉 列 表 框 中 选择 “Windows 
记 帐 ”选项 。 如 果 需 要 使 用 RADIUS 安全 记 帐 程序 ， 在 “ 记 帐 提供 程序 ”下 拉 列 表 框 中 选择 
“RADIUS 记 帐 ”选项 。 如果 管理 员 选 择 RADIUS 记 帐 提供 程序 ， 则 “配置 ”按钮 将 被 激活 ， 
单 击 该 按钮 ， 在 打开 的 对 话 框 中 设置 RADIUS 服务 器 。 

(3) 设置 完成 后 ， 单 击 “ 确 定 ” 按 钮 保存 设置 。 


由 于 远程 访问 服务 器 的 记 帐 程序 在 记 帐 的 同时 降低 了 系统 的 性 能 ， 所 以 系统 允许 
管理 员 不 为 远程 访问 服务 器 设置 记 帐 程序 。 


20.6.3 ”设置 本 地 身份 验证 和 记 帐 日 志 记录 


运行 Windows Server 2003 的 远程 访问 服务 器 ,除了 支持 系统 事件 日 志 记 录 , 还 支持 “本 
地 身份 验证 和 记 帐 日 志 记 录 ” 和 “基于 RADIUS 的 身份 验证 和 记 帐 日 志 记 录 ” 两 种 日 志 记录 
类 型 。 

e 事件 日 志 记录 :事件 日 志 记录 用 于 在 Windows Server 2003 系统 事件 日 志 中 记录 事件 。 
事件 日 志 记 录 一 般 用 于 疑难 解答 ， 或 通知 网 络 管理 员 发 生 了 异常 事件 。 

e 本 地 身份 验证 和 记 帐 日 志 记 录 : 在 启用 Windows 身份 验证 或 记 帐 后 ， 运 行 Windows 
Server 2003 的 远程 访问 服务 器 支持 在 本 地 日 志 记录 文件 中 记录 远程 访问 连接 的 身份 
验证 和 记 帐 信息 。 该 日 志 记录 与 系统 事件 日 志 中 记录 的 事件 是 独立 的 。 可 以 使 用 记 
录 的 信息 跟踪 远程 访问 使 用 情况 和 身份 验证 请 求 。 身 份 验 证 和 记 帐 日 志 记录 对 于 解 
决 远程 访问 策略 问题 尤其 有 用 。 对 于 每 个 身份 验证 请 求 ， 无 论 接受 还 是 拒绝 连接 ， 
远程 访问 策略 的 名 称 都 将 记录 下 来 。 身 份 验 证 和 记 帐 信息 存储 在 
systemroot\System32\LogFiles 文件 夹 中 的 一 个 或 多 个 可 配置 日 志文 件 中 。 日 志文 件 
以 “Intemet 验证 服务 (IAS)1.0” 或 “开放 式 数 据 库 连接 (ODBC)” 格 式 保存 ， 这 表 
明 ， 任 何 ODBC 兼容 的 数据 库 程序 均 可 直接 读 取 该 日 志文 件 进行 分 析 。 

e 基于 RADIUS 的 身份 验证 和 记 帐 日 志 记录 : 在 启用 RADIUS 身份 验证 和 记 帐 后 ， 运 
行 Windows Server 2003 的 远程 访问 服务 器 支持 在 “远程 身份 验证 拨 入 用 户 服务 
(RADIUS)”" 服 务 器 上 记录 远程 访问 连接 的 身份 验证 和 记 帐 信息 。 该 日 志 记录 与 系统 事 
件 日 志 中 记录 的 事件 是 独立 的 。 可 以 使 用 RADIUS 服务 器 上 记录 的 信息 来 跟踪 远程 
访问 使 用 和 身份 验证 尝试 。 如 果 用 户 的 RADIUS 服务 器 是 运行 “Intermet 验证 服务 
(IAS)" 的 Windows Server 2003 计算 机 ， 则 身份 验证 和 记 帐 信息 将 记录 在 存储 在 IAS 
服务 器 上 的 日 志文 件 中 。 

在 这 3 种 日 志 记录 类 型 中 , 只 有 本 地 身份 验证 和 记 帐 日 志 记录 是 通过 “路 由 和 远程 访问 ” 

控制 台 窗口 进行 设置 的 ， 其 具体 设置 步骤 如 下 。 

(1) 打开 “路 由 和 远程 访问 ”窗口 ， 在 控制 台 目 录 树 中 展开 远程 访问 服务 器 ， 然 后 单 击 

“远程 访问 记录 ” 子 节点 ， 在 详细 资料 窗 格 中 将 列 出 日 志 记录 文件 。 在 需要 设置 的 “本 地 文 
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件 ” 选 项 上 单 击 鼠 标 右键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 “ 本 地 文件 属性 ” 
对 话 框 ， 如 图 20-45 所 示 。 

(2) 在 “设置 ” 选项 卡 中 ， 通 过 选中 复 选 框 来 启用 需要 记录 的 日 志 事件 。 例 如 ， 选 中 “ 身 
份 验证 请 求 (如 访问 -接受 或 访问 -拒绝 )” 复 选 框 ， 则 日 志文 件 可 记录 身份 验证 请 求 。 

(3) 要 设置 日 志文 件 ， 可 选择 “日 志 ” 选 项 卡 ， 在 “格式 ”选项 区 域 中 ， 通 过 选中 单 选 
按钮 来 选择 日 志文 件 格式 , 包括 IAS 格式 和 数据 库 兼 容 文件 格式 两 种 ; 在 “创建 新 日 志文 件 ” 
选项 区 域 中 ， 可 选择 新 日 志 开始 的 方式 ， 例 如 ， 选 中 “每 周 ” 单 选 按钮 ， 则 在 一 周 之 后 以 一 
个 新 的 日 志文 件 来 记录 日 志 事件 ; 在 “目录 ”文本 框 中 可 以 输入 日 志文 件 路 径 或 单 击 “ 浏 览 ” 
按钮 进行 路 径 选 择 。 如 图 20-46 所 示 。 

(4) 日 志文 件 设置 完毕 ， 单 击 “ 确 定 ” 按 钮 保存 设置 。 


本 地 文件 旦 性 | 


厂 身份 验证 请 求 各 访问 -接受 或 沪 问 - 拒 抬 ) UD 
厂 周 W 性 状态 gp 必 时 记 帐 请 求 ) 中 ) 


图 20-45 “本 地 文件 属性 ”对 话 框 20-46 日 志文 件 设置 


20.6.4 ”数据 加 密 


Windows Server 2003 远程 访问 服务 可 以 使 用 数据 加 密 来 保护 在 远程 访问 客户 机 和 服务 
器 之 间 发 送 的 数据 。 对 于 金融 机 构 、 执 法 机 关 和 政府 机 关 ， 以 及 要 求 安全 传送 数据 的 企业 ， 
数据 加 密 是 十 分 重要 的 。 如 果 需 要 数据 加 密 ， 网 络 管理 员 可 设置 远程 访问 服务 器 以 请 求 加 密 
通信 。 连 接 到 该 服务 器 的 用 户 必须 加 密 数 据 ， 否 则 将 拒绝 连接 尝试 。 
对 于 拨号 网 络 连接 ， 可 以 通过 在 远程 访问 客户 机 和 服务 器 之 间 的 通信 链接 上 加 密 数据 来 
保护 它 。 当 在 远程 访问 客户 机 和 服务 器 之 间 的 通信 链接 上 有 未 经 授权 地 截取 传输 的 危险 时 ， 
应 该 使 用 数据 加 密 。 对 于 拨号 网 络 连接 ，Windows Server 2003 使 用 “Microsoft 点 对 点 加 密 
(MPPE)” 加 密 。 但 MPPE 要 求 使 用 MS-CHAP( 版 本 1 或 版 本 2) 或 EAP-TLS 身份 验证 协议 。 
对 于 虚拟 专用 网 络 连接 ， 可 以 通过 在 虚拟 专用 网 络 (VPN) 的 两 个 端点 之 间 加 密 数 据 来 保 


护 它 。 当 专用 数据 通过 诸如 Intemet 之 类 的 公共 网 络 传送 时 ，VPN 连接 应 该 总 是 使 用 数据 加 
密 , 因为 公共 网 络 上 总 是 有 未 经 授权 而 截取 信息 的 危险 .对 于 VPN 连接 , Windows Server 2003 
使 用 遵循 “点 对 点 隧道 协议 (PPTP)” 的 MPPE， 以 及 遵循 “第 二 层 隧道 协议 (L2TP)” 的 “人 P 
安全 (IPSec)” 加 密 。 

因为 数据 加 密 是 在 VPN 客户 端 和 VPN 服务 器 之 间 进 行 ， 所 以 在 拨号 客户 及 Internet 服 
务 提供 商 (ISP) 之 间 的 通信 链接 上 没有 必要 使 用 数据 加 密 。 例 如 ， 移 动用 户 可 以 使 用 拨号 网 络 
连接 拨 入 到 本 地 的 ISP, 一 旦 建立 了 Intemet 连接 后 ,用 户 就 创建 了 与 企业 VPN 服务 器 的 VPN 
连接 。 如 果 VPN 连接 已 加 密 ， 则 不 必 对 用 户 和 ISP 之 间 的 拨号 网 络 连接 进行 加 密 。 


远程 访问 数据 加 密 不 提供 端 对 端 数 据 加 密 。 端 对 端 加 密 是 客户 应 用 程序 和 管理 客 
户 应 用 程序 访问 的 资源 或 服务 的 服务 器 之 间 的 数据 加 密 。 要 获得 端 对 端 数据 加 密 ， 可 
在 建立 远程 访问 连接 之 后 使 用 IPSec 创建 安全 连接 。 


20.6.5 安全 主机 


安全 主机 是 一 台 身 份 验证 设备 ， 它 验证 来 自 远程 访问 客户 机 的 呼叫 是 否 被 授权 连接 到 远 
程 访问 服务 器 。 该 验证 补充 了 已 经 由 运行 Windows Server 2003 的 远程 访问 服务 器 提供 的 安 
全 性 。 

安全 主机 位 于 远程 访问 客户 机 和 远程 访问 服务 器 之 间 。 安 全 主机 通常 通过 请 求 某 种 硬件 
密 钥 提供 身份 验证 来 提供 额外 的 安全 层 。 在 允许 访问 远程 访问 服务 器 之 前 ， 先 验证 远程 访问 
客户 机 是 否 从 物理 上 拥有 该 密 钥 。 这 种 开放 的 体系 结构 允许 客户 选择 各 种 安全 主机 来 加 强 远 
程 访 问 中 的 安全 性 ， 例 如 ， 一 种 安全 系统 包括 安全 主机 和 安全 卡 两 个 硬件 设备 。 其 中 ， 安 全 
主机 安装 在 远程 访问 服务 器 和 它 的 调制 解 调 器 之 间 。 安 全 卡 的 大 小 相当 于 一 个 信用 卡 ， 它 类 
似 于 无 按键 的 袖珍 计算 器 。 安 全 卡 每 分 钟 显示 不 同 的 访问 数 ， 该 数值 与 安全 主机 中 每 分 钟 计 
算 的 相同 数字 同步 。 连 接 时 ， 远 程 用 户 将 安全 卡 上 的 数字 传送 给 主机 ， 如 果 该 数字 正确 ， 安 
全 主机 就 将 远程 访问 客户 机 同 远程 访问 服务 器 连接 起 来 。 另 一 种 安全 主机 提示 远程 访问 客户 
输入 用 户 名 (与 远程 访问 客户 机 名 称 可 以 相同 也 可 以 不 同 ) 和 密码 (与 远程 访问 客户 机 的 密码 
不 同 )。 

在 设置 安全 主机 时 ， 必 须 使 其 允许 远程 访问 服务 器 在 安全 功能 生效 之 前 初始 化 调制 解 调 器 。 
远程 访问 服务 器 还 必须 能 够 直接 初始 化 连接 到 安全 主机 上 的 调制 解 调 器 , 而 不 必 从 安全 主机 进行 
安全 检查 。 安 全 主机 可 能 将 远程 访问 服务 器 初始 化 调制 解 调 器 的 请 求解 释 为 尝试 拨 出 。 
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作为 网 络 服务 器 ， 学 习 Windows Server 2003 网 络 组 建 ， 还 有 一 
些 必须 了 解 和 掌握 的 网 络 调试 命令 ， 如 ping、ipconfig、netstat、arp、 
tracert、nslookup 等 。 

随 着 Internet 的 不 断 普及 ， 信 息 化 已 经 成 为 一 个 必然 趋势 ， 网 络 
正 逐 渐 渗 透 到 各 个 领域 之 中 ， 越 来 越 多 的 公司 、 学 校 、 家 庭 都 组 建 了 
自己 的 局 域 网 。 本 章 将 综合 应 用 前 面 章 节 所 学 的 知识 ， 以 一 个 典型 的 
Windows Server 2003 组 建 学 生 局 域 网 为 实例 ， 详 细 讲 述 基 于 
Windows Server 2003， 集 学 习 、 娱 乐 、 服 务 为 一 体 的 各 种 服务 器 的 相 
关 配 置 和 局 域 网 组 建 技术 。 


Rs Windows : 
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21.1 Windows 常用 网 络 命令 


Windows Server 2003 自身 携带 一 些 命令 ， 如 : ping、ipconfig/netstat 等 ， 这 些 命令 比较 实 
用 ， 通 过 这 些 命令 ， 可 以 对 网 络 状况 进行 检测 和 监视 ， 下 面 详细 介绍 这 些 命令 的 使 用 方法 。 


21.1.1 ping 命令 


通过 使 用 ping 命令 , 可 以 检测 本 机 是 否 可 以 访问 到 网 络 中 的 其 他 主机 。ping 命令 向 主机 
发 送 请 求 并 等 待 应 答 , 主机 收 到 请 求 后 返回 应 答 , 应 答 信息 显示 在 计算 机 的 屏幕 上 。 如 果 ping 
命令 无 法 访问 到 一 台 主 机 ， 它 会 产生 一 个 消息 说 明 该 主机 无 法 到 达 。Ping 命令 的 失败 往往 意 
味 着 网 络 连接 没有 正常 工作 ， 可 能 是 网 络 接口 的 问题 ， 可 能 是 配置 的 问题 ， 也 可 能 是 物理 连 
接 出 现 故障 ， 例 如 : 


Ci:Pping www.sina.com.cn 
Pinging libra.sina.com.cn [202.108.33.90] with 32 bytes of data: 


Reply from 202.108.33.90: bytes=32 time=35ms TTL=53 
Reply from 202.108.33.90: bytes=32 time=32ms TTL=53 
Reply from 202.108.33.90: bytes=32 time=31ms TTL=53 
Reply from 202.108.33.90: bytes=32 time=39ms TTL=53 


Ping statistics for 202.108.33.90: 

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), 
Approximate round trip times in milli-seconds: 

Minimum = 31ms, Maximum = 39ms, Average = 34ms 


21.1.2 ARP 命令 


ARP(Address Resolution Protocol) 的 作用 是 查看 和 处 理 ARP 缓存 ， 它 的 主要 特性 和 优点 
是 它 的 地 址 对 应 关系 是 动态 的 , 它 以 查询 的 方式 来 获得 P 地 址 和 实体 地 址 的 对 应 , 负责 把 一 
个 他 解析 成 一 个 物理 性 的 MAC 地 址 。am -a 将 显示 出 全 部 信息 ， 例 如 : 


C:\Documents and Settings\Administrator>arp -a 


TInterface: 59.70.126.10 --- Ox10003 
JIntemet Address 了 Physical Address Type 
58.71.127.254 00-e0-fe-38-e3-90 dynamic 


C:\Documents and Settings\Administrator> 
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21.1.3 ”netstat 命令 


可 用 netstat 命令 显示 连接 统计 ，netstat 的 语法 格式 如 下 : 

netstat [-a][-e][-n][-o][-p protocol][-r][-s][Interval] 

各 参数 说 明 如 下 

-a: 显示 所 有 活动 的 TCP 连接 及 计算 机 侦 听 的 TCP 和 UDP 端口 。 

-e: 显示 以 太 网 统计 信息 , 如 发 送 和 接收 的 字 节 数 、 数 据 报 数 。 该 参数 可 以 与 -s 结合 使 用 。 

-n: 显示 活动 的 TCP 连接 , 不 过 , 只 以 数字 形式 表现 地 址 和 端口 号 , 却 不 尝试 确定 名 称 。 

-0: 显示 活动 的 TCP 连接 ， 并 包括 每 个 连接 的 进程 ID(PID)。 可 以 在 Windows 任务 管理 
器 中 的 “进程 ”选项 卡 上 找到 基于 PID 的 应 用 程序 。 该 参数 可 以 与 -a、-n、-p 结合 使 用 。 

-p Protocol: 显示 Protocol 所 指定 的 协议 的 连接 。Protocol 可 以 是 TCP、UDP、RCPv6 或 
UDPv6。 

-s: 按 协议 显示 统计 信息 。 

-I: 显示 了 P 路 由 表 的 内 容 。 该 参数 与 route print 命令 等 价 。 

-Interval: 每 隔 Interval 秒 重新 显示 一 次 选 定 的 信息 。 

举例 如 下 : 使 用 netstat - an 命令 ， 可 以 查看 使 用 TCP/IP 传输 协议 的 连接 。 


C:\Documents and Settings\Administrator>netstat -an 


Active Connections 
Proto Local Address Foreign Address State 
TCR 0.0.0.0:135 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 
TCR 0.0.0.0:1028 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:1723 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:6892 0.0.0.0:0 LISTENING 
TEP 0.0.0.0:8383 0.0.0.0:0 LISTENING 
TCP 0.0.0.0:9000 0.0.0.0:0 LISTENING 
TceP 59.70.126.10:139 0.0.0.0:0 LISTENING 
TCR 127.0.0.1:1029 0.0.0.0:0 LISTENING 
TeP 127.0.0.1:1032 0.0.0.0:0 LISTENING 
TCP 127.0.0.1:1042 127.0.0.1:1043 ESTABLISHED 
TCP 127.0.0.1:1043 127.0.0.1:1042 ESTABLISHED 
Tep 127.0.0.1:1655 127.0.0.1:1656 ESTABLISHED 
TCP 127.0.0.1:1656 127.0.0.1:1655 ESTABLISHED 
CP 127.0.0.1:8383 0.0.0.0:0 LISTENING 
TGP 127.0.0.1:9000 0.0.0.0:0 LISTENING 
UDP 0.0.0.0:445 ey 


C:\Documents and Settings\Administrator> 
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21.1.4 ipconfig 命令 


可 用 ipconfig 命令 查看 卫 配置 信息 ，ipconfig 命令 的 语法 格式 如 下 : 
ipconfig[/all][/batchfile][/renew_alll][/release_alll[/renew nl]l/release n] 


各 参数 的 主要 功能 说 明 如 下 。 

all: 显示 与 TCP/IP 协议 相关 的 所 有 细节 信息 ， 其 中 包括 测试 的 主机 名 、 人 P 地 址 、 子 网 
掩 码 、 节 点 类 型 、 是 否 启 用 四 路由、 网 卡 的 物理 地 址 、 默 认 网 关 等 。 

batchfile: 测试 的 结果 存 入 指定 的 "file" 文 件 名 中 ， 以 便于 逐 项 查看 ， 如 果 省 略 file 文件 
名 ， 则 系统 会 把 这 次 测试 的 结果 保存 在 系统 的 "winipcfg.out" 文 件 中 。 

renew_all: 更 新 全 部 适配器 的 通信 配置 情况 ， 所 有 测试 重新 开始 。 

release_all: 释放 全 部 适配器 的 通信 情况 。 

renew n: 更 新 第 n 号 适配器 的 通信 情况 ， 所 有 测试 重新 开始 。 

release n: 释放 第 n 号 适配器 的 通信 情况 。 


举例 如 下 : 
C:ipconfig /all 


Windows IP Configuration 


Ethernet adapter 本 地 连接 : 


Connection-specific DNS Suffix .: 

Descnplion 0: : Broadcom NetXtreme 57xx Gigabit Controller 
Physical Address.........: : 00-1A-A0-C5-5B-54 

DHCP Roed .ss 3: No 

WP Addres : 58.71.126.10 

SobnetNaaE se aes: :255.255.255.0 

Default Gateway .........: 

DNSISerwe O87 


202.102.224.68 
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21.1.5 tracert 命令 


tracert -参数 ip( 或 计算 机 名 ) 跟踪 路 由 (数据 包 ) ， 参 数 :“-w 数字 ”用 于 设置 超时 间隔 。 
21.1.6 nslookup 命令 


Nslookup 命令 是 一 个 可 以 跨 多 种 平台 的 工具 之 一 ,并 且 , 它 可 能 是 人 们 最 熟悉 的 一 个 工具 ， 
其 使 用 方法 也 相当 简单 ， 可 以 用 在 交互 式 和 非 交互 式 两 种 模式 下 (也 就 是 直接 从 命令 行 运行 )。 
当 不 带 任何 参数 运行 该 命令 时 ，nslookup 将 进入 交互 模式 。 在 命令 行 下 输入 nslookup 命 
令 时 ， 将 进入 nslookup 的 shell 下 ; 要 退出 交互 模式 ， 在 nslookup 提示 符 下 输入 exit 即 可 。 
举例 如 下 : 
Cnslookup 


Default Server: dns 
Address: 58.71.112.8 


> www.sina.com.cn 
Server: dns 
Address: 58.71.112.8 


Name: libra.sina.com.cn 

Addresses: 202.108.33.91, 202.108.33.92, 202.108.33.93, 202.108.33.94 
202.108.33.95, 202.108.33.96, 202.108.33.97, 202.108.33.98, 202.108.33.99 
202.108.33.70, 202.108.33.71, 202.108.33.72, 202.108.33.73, 202.108.33.74 
202.108.33.75, 202.108.33.76 

Aliases: www.sina.com.cn, jupiter.sina.com.cn 


> sohu.com 
Server: dns 
Address: 58.71.112.8 


Name: sohu.com 
Addresses: 61.135.181.175, 61.135.181.176 


= 


21.2 ” 线 缆 敷设 


本 实例 将 针对 校区 宿舍 组 建 局 域 网 。 假 设 校园 内 有 一 幢 楼 ， 共 有 5 层 ， 每 层 20 个 房间 ， 
现在 要 在 这 里 建 一 个 局 域 网 。 下 面 介绍 怎样 进行 这 一 幢 楼 的 局 域 网 布线 。 首 先 考 虑 网 络 拓扑 
结构 ， 局 域 网 拓扑 结构 主要 由 星 状 、 环 状 及 混合 状 。 拓 扑 结构 的 选择 与 网 络 用 途 、 传 输 介质 、 
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访问 控制 方式 紧密 相关 。 星 状 拓 扑 是 由 中 央 节 点 和 通过 点 对 点 通信 链 路 接 到 中 央 节 点 的 各 个 
分 节点 组 成 。 星 状 拓 扑 结 构 具 有 以 下 优点 。 

(1) 控制 简单 

(2) 便于 故障 诊断 和 隔离 

(3) 方便 服务 

鉴于 星 状 网 络 的 这 些 特点 ， 这 里 采用 星 状 网 络 拓扑 结构 进行 局 域 网 布线 ， 采 取 交 换 机 - 
集线器 -客户 端的 星 状 网 络 拓扑 结构 ， 中 间 的 连 线 采用 非 屏蔽 超 5 类 双 绞 线 。 

由 于 网 络 发 展 已 经 有 比较 成 熟 的 千 兆 网 ， 可 以 选用 10/100M 自 适 应 12 口 小 型 交换 机 作 
为 中 央 节 点 放置 在 中 央 机 房 中 。 每 层 楼 放 一 个 (或 两 个 )24 口 的 集线器 ， 从 主机 房 交换 机 处 布 
10 根 线 出 来 , 每 层 楼 两 根 线 (如 果 每 层 楼 只 放置 一 个 HUB, 则 剩 下 一 根 线 备 用 ) 接 至 HUB 上 ， 
每 个 房间 放置 一 个 (或 两 个 ) 网 络 接口 模块 ， 再 将 每 个 房间 的 网 线 连接 到 各 个 对 应 的 HUB 处 
即 可 。 

网 线 布 好 以 后 ， 通 过 测试 ， 画 好 图 纸 ， 局 域 网 布线 就 完成 了 。 


21.3 配置 相关 应 用 服务 器 


组 建 局 域 网 中 最 关键 的 一 步 就 是 服务 器 操作 系统 的 选择 与 安装 ， 常 用 的 服务 器 操作 系统 
有 基于 SUN 工作 站 平台 的 Solaris 操作 系统 、 基 于 个 人 计算 机 的 Linux 免费 操作 系统 、 基 于 
个 人 计算 机 的 Windows 网 络 操作 系统 ， 本 例 选用 Windows Server 2003 标准 版 SP1。 


21.3.1 安装 Windows Server 2003 


根据 当前 的 配置 需求 在 服务 器 上 安装 Windows Server 2003， 安 装 过 程 可 参考 第 1 章 ， 这 
里 不 再 更 述 。 


21.3.2 配置 TCP/IP 


(1) 打开 “开始 ”菜单 ， 选 择 “ 控 制 面板 ”|“ 网 络 连接 ”命令 ， 在 “本 地 连接 ”图 标 上 
右 击 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 “ 本 地 连接 属性 ”对 话 框 ， 如 图 21-1 

(2) 选中 “Intemet 协议 (TCP/IP)” 选 项 , 单 击 “ 属 性 ”按钮 , 打开 了 正 设置 窗口 ,选择 “使 
用 下 面 的 他 地 址 ” 单 选 按 钮 ,在 亿 地 址 栏 输入 “192.168.0.11”, 子 网 掩 码 输入 :“255.255.255.0”， 
选择 “使 用 下 面 的 DNS 服务 器 地 址 ”， 在 首选 DNS 服务 器 栏 输入 : “192.168.0.11”， 如 图 
21-2 所 示 。 


| 


21-1 “本 地 连接 属性 ”对 话 框 图 21-2 设置 服务 器 IP 地 址 


(3) 单 击 “ 高 级 ”按钮 打开“ 高 级 TCP/IP 设置 ”对 话 框 ， 在 “ 卫 地址 ” 栏 中 单 击 “ 添 
加 ”按钮 ， 依 次 加 入 : FTP(192.168.0.12/255.255.255.0)、MAIL(192.168.0.13/ 255.255.255.0)、 
ICQ(192.168.0.14/255.255.255.0) 主 机 的 他 地址 及 其 子 网 掩 码 ，Web 服务 器 使 用 192.168.0.11， 
如 图 21-3 所 示 。 


21-3 ”添加 主机 IP 地 址 


(4) 单 击 “ 确 定 ”按钮 ， 完 成 设置 。 
21.3.3 ”创建 服务 器 文件 


(1) 建立 一 个 文件 夹 ， 存 放 相 应 的 服务 器 文件 和 FTP 服务 器 文件 。 在 web.buptsie.com 文 
件 夹 中 存放 web 服务 器 文件 ， 在 ftp.buptsie.com 文件 夹 中 存放 FTP 服务 器 文件 ， 如 图 21-4 
所 示 。 

(2) 为 了 便于 测试 ， 分 别 在 两 个 文件 夹 中 放 入 测试 文件 。 在 web.buptsie.com 文件 夹 中 新 
建 一 个 word 文档 ， 输 入 文字 “您 好 ， 欢 迎 来 到 web.buptsie.com”， 如 图 21-5 所 示 。 
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21-4 ”创建 服务 器 文件 夹 


欢迎 来 到 web buptsie com。 
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21-5 ”创建 测试 文件 


(3) 选择 “文件 ”|“ 另 存 为 ”命令 ， 将 其 保存 为 网 页 ， 文 件 名 为 index( 文 件 名 必须 与 服 
务 器 默认 的 文档 相 匹配 ， 有 具体 内 容 请 参考 第 11 章 )， 如 图 21-6 所 示 。 
(4) 在 fp.buptsie.com 文件 夹 中 新 建 一 个 TXT 文档 ， 命 名 为 “欢迎 来 到 我 的 FTP”， 如 


图 21-7 所 示 。 


oe 


21-6 ”创建 Web 测试 文件 


文件 四 “ 编 得 @)。 查看 四 疏 根 人 ) 工具 台 ， 姥 助 0 


OR -OO- FM OxHa | SFXH TE- 
WE | c: \swrver\tto. baptsie. oom 本 加 时 
DR 


21-7 创建 他 测试 文件 


这 样 服务 器 测试 文件 就 创建 完了 ， 以 后 会 使 用 这 两 个 文件 来 测试 各 个 主机 。 


21.3.4 DNS 服务 器 的 设置 


(1) 安装 DNS 服务 器 ， 有 具体 步骤 可 参考 第 13 章 。 
(2) 打开 “开始 ”菜单 ,选择 “管理 工具 ”| DNS 命令 , 打开 DNS 控制 台 窗口 ,如 图 21-8 


所 示 。 


(3) 在 DNS 控制 台 窗 口中 ， 选 择 “ 操 作 ”|“ 新 建 区 域 ” 命 令 ， 打开 “欢迎 使 用 新 建 


向 导 ” 对 话 框 ， 如 图 21-9 所 示 。 
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此 癌 导 条 有志 为 JI 用 各 加 了 一 个 新 区 城 ， 
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-1 T rE | ww | 
21-8 DNS 控制 台 窗 口 21-9 “欢迎 使 用 新 建 区 域 向 导 ” 对 话 框 


(4) 单 击 “ 下 一 步 ”按钮 ， 打 开 “ 区 域 类 型 ”对 话 框 ， 在 “区 域 类 型 ”对 话 框 中 有 3 个 
选项 ， 分 别 是 主要 区 域 、 辅 助 区 域 和 存根 区 域 。 用 户 可 以 根据 区 域 存 储 和 复制 的 方式 选择 一 
个 区 域 类 型 。 这 里 选择 主要 区 域 ， 如 图 21-10 所 示 。 

(5) 单 击 “ 下 一 步 ” 按 钮 ， 将 打开 “ 正 向 或 反 向 查找 区 域 ”对 话 框 ， 选 择 “ 正 向 查找 区 
域 ” 单 选 按钮 ， 如 图 21-11 所 示 。 


st ms. AEs. 加 
这 和 全 要 阐 陵 从 区 城 的 史 台 也 振作 对 人 振 芍 查 技 区 RPR 
"me Es ew 2 a 大 拒 供 可 用 同 线 服 和 的 全 处。 
rs 
全 ER rs 

; 0 人 有 的 区 
ee 
ts me E33 mu |_ wm | 
图 21-10 “区 域 类 型 ”对 话 框 图 21-11 “ 正 向 或 反 向 查找 区 域 ”对 话 框 


(6) 选择 了 新 区 域 的 搜索 方向 后 ， 单 击 “ 下 一 步 ”按钮 ， 打 开 “ 区 域名 称 ” 对 话 框 ， 在 
该 对 话 框 中 用 户 需要 输入 新 建 区 域 的 名 称 ， 如 图 21-12 所 示 。 

(7) 单 击 “下 一 步 ”按钮 ， 将 打开 “动态 更 新 ”对 话 框 ， 用 户 可 以 指定 这 个 DNS 区 域 是 
否 接 受 安全 、 不 安全 或 动态 的 更 新 ， 如 图 21-13 所 示 。 
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21-12 “区 域名 称 ” 对 话 框 图 21-13 “动态 更 新 ”对 话 框 
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图 21-14 “正在 完成 新 建 区 域 向 导 ” 对 话 框 


(9) 单 击 “ 完 成 ”按钮 ， 结 束 新 建 区 域 的 操作 。 

(10) 在 左 侧 窗 格 中 依次 展开 ServerName|“ 正 向 查找 区 域 ” 目 录 。 然 后 右 击 之 前 建立 的 
区 域 ， 从 弹出 的 快捷 菜单 中 选择 “新 建 主机 ”命令 ， 依 次 加 入 如 下 主机 : 
www(192.168.0.11)、 ftp(192.168.0.12)、mail(192.168.0.13)、 icq(192.168.0.14) 


注意 选中 “创建 相关 的 指针 (PTR) 记 录 ” 复 选 框 , 这 样 可 以 同时 在 反 向 查找 区 域 中 
创建 指针 ， 如 图 21-15 所 示 。 
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图 21-15 创建 主机 
21.3.5 “Web 服务 器 的 设置 


接 下 来 设置 Web 服务 器 ， 服 务 器 软件 可 以 采用 微软 自 带 的 “Internet 信息 服务 (IS)”。 
(1) 安装 Web 服务 器 ， 具 体 步骤 可 参考 第 11 章 。 


(2) 打开 “开始 ”菜单 ， 选 择 “管理 工具 ”|“Interet 服务 管理 器 ”命令 ， 打 开 “Intemet 
信息 服务 (IIS) 管 理 器 ”窗口 ， 在 控制 台 目录 树 中 展开 服务 器 节点 ， 如 图 21-16 所 示 。 
(3) 在 控制 台 窗 口中 右 击 “ 网 站 ”节点 ， 从 弹出 的 快捷 菜单 中 选择 “新 建 ”|“ 网 站 ” 命 
令 ， 打 开 “ 网 站 创建 向 导 ” 对 话 框 ， 9 21-17 所 示 。 
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欢迎 使 用 网 站 创建 向 导 


此 向 导 帮 肝 算 在 计 丢 机 上 靳 建 一 个 网 站 . 


要 如 续 ， 请 单 击 “ 下 一 步 ” 


| em 
图 21-16 “Intemet 信息 服务 (1S) 管 理 器 ”窗口 图 21-17 “网 站 创建 向 导 ” 对 话 框 


(4) 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 网 站 描述 ”对 话 框 ， 在 “描述 ”文本 框 中 输入 站 点 描 
述 即 站 点 名 称 ， 用 于 帮助 管理 员 容 易 识别 站 点 ， 如 图 21-18 所 示 。 

(5) 然后 单 击 “ 下 一 步 ” 按 钮 ， 在 打开 的 “人 P 地 址 和 端口 设置 ”对 话 框 的 “网 站 人 P 地 址 ” 
下 拉 列 表 框 中 选择 “192.168.0.11”; 在 “网 站 TCP 端口 ”文本 框 中 输入 TCP 端口 值 ， 其 默 
认 值 为 80， 如 果 有 主机 头 ， 则 可 在 “此 网 站 的 主机 头 ”文本 框 中 输入 ， 系 统 默认 为 无 ， 如 图 
21-19 所 示 。 
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图 21-18 “网 站 描述 ”对 话 框 21-19 “IP 地 址 和 端口 设置 ”对 话 框 


(6) 单 击 “ 下 一 步 ”按钮 ， 将 打开 “网 站 主 目录 ”对 话 框 ， 单 击 “ 路 径 ”文本 框 右 侧 的 
“浏览 ”按钮 ， 选 择 刚才 创建 的 web.buptsie.com 文件 来。 如果 允 许 访 问 者 匿名 访问 此 站 点 ， 
则 选中 “人 允许 匿名 访问 网 站 ” 复 选 框 ， 如 图 21-20 所 示 。 

(7) 然后 单 击 “ 下 一 步 ” 按 钮 ， 将 打开 “网 站 访问 权限 ”对 话 框 ， 在 “人 允许 下 列 权限 ” 
选项 区 域 中 设置 主 目录 的 访问 权限 ， 如 图 21-21 所 示 。 
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图 21-20 输入 主 目录 路 径 图 21-21 设置 访问 权限 


(8) 然后 单 击 “ 下 一 步 ” 按 钮 打开“ 完成 网 站 创建 向 导 ” 对 话 框 。 单 击 “ 完 成 ”按钮 
即 可 完成 站 点 的 创建 ， 如 图 21-22 所 示 。 
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21.3.6 ”FTP 服务 器 的 设置 


(1) 在 控制 台 窗口 中 右 击 “FTP 站 点 ”节点 ， 从 弹出 的 快捷 菜单 中 选择 “新 建 ”| “FTP 
站 点 ”命令 ， 打 开 “FTP 站 点 创建 向 导 ” 对 话 框 ， 如 图 21-23 所 示 。 

(2) 单 击 “ 下 一 步 ” 按 钮 ， 将 打开 “FTP 站 点 描述 ”对 话 框 ， 在 “描述 ”文本 框 中 输入 
站 点 描述 即 站 点 名 称 ， 用 于 帮助 管理 员 识 别 站 点 ， 如 图 21-24 所 示 。 
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图 21-23 “欢迎 使 用 FTP 站 点 创建 向 导 ” 对 话 框 21-24 “FTP 站 点 描述 ”对 话 框 


(3) 然后 单 击 “ 下 一 步 ” 按 钮 ， 在 打开 的 “了 地 址 和 端口 设置 ”对 话 框 的 “输入 此 FTP 
站 点 使 用 的 卫 地 址 ” 下拉 列表 框 中 选择 “192.168.0.12”; 在 “输入 此 FTP 站 点 的 TCP 端口 ” 
文本 框 中 输入 TCP 端口 值 ， 其 默认 值 为 21， 如 图 21-25 所 示 。 

(4) 单 击 “ 下 一 步 ”按钮 ， 打 开 “FTP 用 户 隔 离 ” 对 话 框 ， 在 此 可 以 根据 自己 的 需要 进 


行 选择 ， 本 例 保持 默认 设置 ， 如 图 21-26 所 示 。 
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图 21-25 “IP 地 址 和 端口 设置 ”对 话 框 图 21-26 “FTP 用 户 隔离 ”对 话 框 


(5) 单 击 “ 下 一 步 ”按钮 ， 将 打开 “FTP 站 点 主 目录 ”对 话 框 ， 单 击 “ 路 径 ” 文 本 框 右 
侧 的 “浏览 ”按钮 ， 选 择 刚才 创建 的 fp.buptsie.com 文件 夹 ， 如 图 21-27 所 示 。 

(6) 单 击 “ 下 一 步 ”按钮 ， 将 打开 “FTP 站 点 访问 权限 ”对 话 框 ， 在 “人 允许 下 列 权 限 ” 
选项 区 域 中 设置 主 目 录 的 访问 权限 ， 如 图 21-28 所 示 。 
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图 21-27 输入 主 目录 路 径 图 21-28 设置 权限 


(7) 单 击 “ 下 一 步 ”按钮 ， 打 开 “ 已 成 功 完成 FTP 站 点 创建 向 导 ” 对 话 框 。 单 击 “ 完 成 ” 
按钮 ， 即 可 完成 FTP 站 点 创建 ， 如 图 21-29 所 示 。 


最 了 肋 光 应 PTP 站 点 他 下 1 


要 出 这 些 更 下 ， 计 音 击 ~ 充 三 ” 


了 二 
21-29 ”完成 创建 


Ry Windows : 
SCnVerm2000rTr3 


21.3.7 ”Mail 服务 器 的 设置 


关于 如 何 使 用 Windows Server 2003 自 带 的 服务 进行 Mail 服务 器 的 安装 和 设置 ， 请 参考 
本 书 第 16 章 ， 在 这 里 使 用 第 三 方 Mail 服务 器 ， 如 有 名 的 MDaemon Server， 其 下 载 地 址 为 
http://download.zol.com.cn/link/3/28027.shtml。 

(1) 运行 该 安装 程序 ， 进 入 如 图 21-30 所 示 的 欢迎 界面 。 

(2) 单 击 “ 下 一 步 ” 按 钮 ， 进 入 如 图 21-31 所 示 的 许可 协议 窗口 。 
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图 21-30 ”欢迎 界面 图 21-31 许可 协议 


(3) 单 击 “ 我 同意 ”按钮 ， 进 入 如 图 21-32 所 示 的 选择 安装 目录 对 话 框 。 
(4) 保持 默认 目录 ， 单 击 “ 下 一 步 ”按钮 ， 输 入 注册 信息 ， 如 图 21-33 所 示 。 
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图 21-32 ”选择 安装 目录 图 21-33 ”输入 注册 信息 


(5) 单 击 “ 下 一 步 ” 按 钮 ， 进 入 如 图 21-34 所 示 的 准备 安装 界面 。 
(6) 单 击 “ 下 一 步 ”按钮 开始 安装 , 安装 完成 后 进入 域名 设置 窗口 , 填 入 域名 buptsie.comy 
如 图 21-35 所 示 。 
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21-34 ”准备 安装 图 21-35 设置 域名 
(7) 单 击 “ 下 一 步 ”按钮 ， 开 始 设置 账号 ， 如 图 21-36 所 示 。 
(8) 单 击 “ 下 一 步 ” 按 钮 ， 打 开设 置 DNS 窗口 ， 选 中 “使 用 Windows 的 DNS 设置 ” 复 
选 框 ， 如 图 21-37 所 示 。 
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(9) 单 击 “ 下 一 步 ”按钮 ， 进 入 操作 模式 设置 窗口 ， 如 图 21-38 所 示 。 
(10) 选择 “使 用 “简易 ”模式 运行 MDaemon” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 ， 进 入 


如 图 21-39 所 示 的 窗口 。 
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(11) 单 击 “ 下 一 步 ” 按 钮 ， 完 成 设置 ， 如 图 21-40 所 示 。 
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(12) 单 击 “ 完 成 ”按钮 ， 系 统 将 启动 MDaemon Server， 如 图 21-41 所 示 。 
(13) 接 下 来 可 以 为 局 域 网 的 各 个 成 员 添 加 账号 ,选择 “账号 ”|“ 新 建 账号 ”命令 ,打开 
sa ”对 话 框 ， Lash 如 图 21-42 名 所 示 。 
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其 他 功能 选项 可 以 采用 系统 默认 值 ， 其 实 这 套 mail 服务 系统 功能 十 分 强大 ,基于 标准 的 
PT/POP3/TMAP4/LDAP 协议 提供 多 域名 支持 、 远 程 管理 、 可 创建 邮递 清单 ， 而 且 对 用 户 提供 
了 Web 服务 ， 使 得 用 户 可 以 通过 访问 Web 页 面 ， 根 据 权 限 ， 享 有 修改 密码 、 查 询 信件 等 服 
务 。 局 域 网 的 其 他 主机 可 以 用 Foxmail 或 Outlook 收发 Email， 其 中 POP3 服务 器 和 SMTP 服 
务 器 均 设置 为 “mail.buptsie.com” 或 服务 器 的 他 地址 : 192.168.0.13， 这 样 就 能 在 该 局 域 网 中 
用 Email 交流 了 。 


21.4 客户 端的 设置 与 测试 


相对 于 服务 器 的 设置 , 无 疑 客户 端 主机 的 设置 就 简单 多 了 (以 某 台 主机 为 例 , 假设 其 操作 
系统 采用 的 是 Windows XP)。 
(1) 打开 “开始 ”菜单 ， 选 择 “ 控 制 面板 ”|“ 网 络 连接 ”命令 ， 在 “本 地 连接 ”上 单 击 
鼠标 右键 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 , 在 打开 的 “属性 ” 对话 框 中 选中 “Intemet 


协议 (TCP/IP)” 选 项 ， 单 击 “ 属 性 ”按钮 ， 弹 出 他 设置 窗口 ， 选 择 “ 使 用 下 面 的 他 地 址 ” 单 
选 按钮 ， 在 人 P 地 址 栏 输入 “192.168.0.2”， 子 网 掩 码 输 入 : “255.255.255.0”， 选 择 “ 使 用 
下 面 的 DNS 服务 器 地 址 ” 单 选 按钮 ， 在 首选 DNS 服务 器 栏 输入 : “192.168.0.11”， 如 图 
21-43 所 示 。 

(2) 在 客户 端 浏览 器 地 址 栏 中 输入 “http://Web 服 务 器 他 :端口 号 ”, 例 如 :http://192.168.0.11 
(80 为 默认 端口 号 ， 可 以 不 填 )， 即 可 打开 Web 服务 器 上 的 测试 网 页 ， 如 图 21-44 所 示 。 
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(3) 在 客户 端 浏览 器 地 址 栏 中 输入 “ftp://ftp 服务 器 他 : 端口 号 ”, 例如 : ftp://192.168.0.12 
(21 为 默认 端口 号 ， 可 以 不 填 )， 即 可 打开 服务 器 上 的 FTP 文件 夹 ， 如 图 21-45 所 示 。 
(4) 邮件 服务 器 与 聊天 服务 器 的 测试 方法 比较 简单 ， 可 参考 本 书 第 16 章 与 第 21 章 。 
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